handmadeFromRuIdol_111Еще раз опишу, что меня беспокоит как ДБА:
Несколько программ обращаются к API и затем обезличиваясь под ОДНИМ логином лезут в БД. Это в принципе не есть хорошо (простые примеры привел выше).
А уж о решение проблем с производительностью вообще можно свет тушить. Какая программа уронила сервер надо долго и нудно ковыряться в логах теперь не только БД, но еще API. Супер!

эм вот я обращаюсь к сервиса доставки чтоб они мне дали адреса куда можно и цену. по вашему они мне что делают свое соединение?
Хвост вам все правильно говорит.
проблемы с перфомансом - как это решается за счет разных учеток?
если программа уронила сайт для этого есть к примеру ролбар или грейлог, если в файловых логах стремно искать, что соберет максимально все и предоставить в удобном виде.

если ваши программы лезут через одно общее апи то никто не отменял их авторизацию и реализацию прав, чтоб понять кто и откуда что сделал и что может впринципе сделать. Перекладывать эт на уровень учеток к бд это не есть хорошая практика в вебе, для изернета я б еще понял на основе учеток AD.
Мне кажется с сложностями устранения проблем с производительностью вы сталкиваетесь не часто.
У меня нет пары часов разбираться и какая это программа из 20ти положила сервер вызвав ХП с такими дикими параметрами. А вот имея разные учетки это определяется за секунду и далее по программе.

А вот почему "отменили" имперсонацию и решили перевести реализацию прав (обращаю Ваше внимание: для программ, не для юзеров) на уровень выше (API) мне вообще не понятно. Смысл? Выше я уже писал, что логически это только ухудшает безопасность.

ViPRosIdol_111Shocker.Pro,

И у каждой программы есть AD account, который и используется для подключения к API.
Меня как ДБА не устраивает, что затем API подключается к БД под одним общим логином.

Ну, надо немного поменять АПИ, что бы в поле Приложение (допустим) соединения писала себя и своего клиента
АПИ/ПрогаКлиент1, АПИ/ПрогаКлиент2
В такие нюансы я уже не влазил. Можно и имперсонацию сделать (правда кода больше), но все прикрываются тем что МелкоСофт сказал - не желательно использовать имперсонацию. Типа best practise. Почему это лучшая практика я нигде не нашел.

У меня возникло какое-то чувство неловкости :). То ли я разучился внятно объяснять, то ли народ перестал вдумчиво читать.
Вроде уже все было разжевано выше. Только без обид. Это я философски.

В принципе позицию девелоперов я понял.

Остался загадкой для меня лишь один вопрос. Почему МелкоСофт считает использование имперсонирования плохой практикой? Вроде всегда считал с точностью до наоборот.

Petro123Idol_111Почему МелкоСофт считает использование имперсонирования плохой практикой?это не он.
Это логика:
1. Веб приложение это грубо - сайт.
2. Сайт ходит в бд под публичным обезличенным пользователем.
Правда не врубился?
Я ж не против, но нахрена ВСЕ сайты ходят в бд под ОДНИМ обезличенным пользователем. В чем прикол?

LessypIdol_111У меня возникло какое-то чувство неловкости :)
..
Остался загадкой для меня лишь один вопрос. Почему МелкоСофт считает использование имперсонирования плохой практикой?
Мне тоже немного неловко, но вроде-бы Calabonga дал ответ на этот вопрос в первом-же посте этого топика
Calabonga и правда молодец, сразу и в точку.
Но я решил еще покопать может у кого еще какое мнение.

Вот только в моем случае кросплатформенность нам нафиг не упала. У нас все .net.