denis_viktorovich1. Хочу попробовать подменить встроенный механизм авторизации, чтобы не вводить пользователей и в админке сайта и в админке приложения. Т.е. дать пользователю от имени которого будет крутиться сайт права только на две хранимки 1 - проверяет логин и мароль, 2 - рабочая, принимает код и возвращает результат. Нормален такой подход с точки зрения безопасности? Или лучше оставить встроенный мех-м аутентификации и пусть дублируется?
Ограничение прав пользователя в SQL это правильно. Непонятно только каким образом это связано с аутенификацией в самом приложении и про какой "встроенный механизм авторизации" ты говоришь.

Насколько я понимаю при запуске твоей программы пользователь вводит логин/пароль, которые затем сверяются с данными взятыми из SQL. Раз так, то для доступа к SQL серверу ты используешь SQL-аутентификацию и, скорее всего, единственный логин жестко прописанный в строке соединения. Это так?

denis_viktorovich2. На что еще обратить внимание в плане безопасности, кроме максимального урезания функционала на сайте, и настройки прав в MS SQL для учетной под которой крутится сайт?
Про безопасность сайтов целые книги пишут т.к. нюансов довольно много. Задавай конкретные вопросы. В целом стоит обратить внимание на защиту от SQL injection атак и XSS. Кроме того, раз речь о мобильном приложении, то советую защитить весь сайт с помощью HTTPS, чтобы логин/пароль нельзя было перехватить в открытых Wi-Fi сетях не использующих шифрование. Говорю про весь сайт т.к. он у тебя по сути из двух страниц состоит и врядли будет генерировать большой траффик.