Idol_111Lessyp Разруливанием прав доступа тут может занимается только API и никак не база. В базе это разрулить в принципе нереализуемо.
ну тут мы с вами по разные стороны баррикад.
То что можно сделать на уровне баз в принципе не возможно сделать на уровне прослойки.
Да ладно?

Петя хочет письмо отправить туевой хуче своих контактов, с файлами своими поработать (для кого-то к ним дать доступ, для кого-то запретить), денег кому-то перевести, используя одну из десятка платёжных систем...

И теперь обеспечьте ему безопасность этих операций на уровне этой своей базы.
На систему надо смотреть системно, а не только с точки зрения ДБА

Idol_111Petro123пропущено...
не верю.
Каждое веб приложение со своими настройками, и коннектом.
Слово API уберите из темы.
Ну как же я его уберу, оно же в центре всего.

Я попробую еще раз на пальцах.
Петя подключается к программе (вэб, декстоп, какая разница в данном случае)(назовем программу Апрог) под своим AD (к примеру, Фирма\Петя)
-> программа подключается к API (т.е. к еще одной программе прослойке) под своим сервисным AD (Фирма\Апрог)
-> API подлючается к БД под своим сервисным AD (Фирма\APIservice), так как имперсонации нет.

Петь тысячи, вебпрограмм типа Апрог десятки, а подключаются к БД под одним логином.

Вы правда считаете это хорошим дизайном?
У нас 25 с лишним тысяч фирм, миллионы Петь... AD тут на фиг не нужно...
Петя хочет из-под своего Google аккаунта ходить, со своего ведроид смартфона, где уже всё у него настроено

ViPRos,

историю успеха нашего хочешь услышать?
Начни с нашего сайта... Почитай блог, посети форум, пообщайся с Петями в нашей группе в Фейсбук...

ViPRos,

софт, в котором есть всё для membership management

ViPRos,

тут почитай :)

Idol_111skyANAпропущено...

Да ладно?

Петя хочет письмо отправить туевой хуче своих контактов, с файлами своими поработать (для кого-то к ним дать доступ, для кого-то запретить), денег кому-то перевести, используя одну из десятка платёжных систем...

И теперь обеспечьте ему безопасность этих операций на уровне этой своей базы.
На систему надо смотреть системно, а не только с точки зрения ДБА
еще один спец :).Да, ещё один спец, у кооторого богатый опыт использования в том числе и вашего подхода.

Idol_111Вы не разобравшись в сути пытаетесь навязать свой опыт.Где это я свой опыт навязывал? Когда предложил на систему смотреть системно?

Мне просто любопытно, что же такое можно сделать на уровне баз, чего нельзя на уровне приложения, какую такую магию? Можете поведать?

Idol_111Для каждой задачи свое решение и я почти уверен вы в вашем случае выбрали правильное.
Но оно нафиг не упало для моего случая. Мне кросплатфоменность и лишняя прослойка даром не нужна.Я что-то писал про кросплатфоменность и лишние прослойки?

Idol_111Да и вопрос мой был даже не про мой случай, а почему похерели имперсонацию, когда она идеально вписывается в случае урезанного (т.е. все работает в одной платформе) применения ASP.NET Core.Что значит похерили?
Она прибита гвоздями к Wondows и IIS, вот и не рекомендуется для использования в ASP.NET Core.
Но если так надо, то берите и используйте. Не знаете как что-ли?

Idol_111Как и написал выше. Мне все понятно и даже заблуждения программистов о крутизне политие безопасность под API.И вот мне снова любопытно, о чём Вы конкретно пишете?

И, кстати, рекомендациям не использовать имперсонацию в ASP.NET уже больше 10 лет: Avoid using Impersonation in ASP.NET .

ViPRosskyANAViPRos,

тут почитай :)
Вы можете встроить туда мой планировщик и на этом заработать?
Куда туда и зачем?

ViPRos,

если ты хочешь на своём планировщике денег подзаработать, то сам постарайся ответить на вопрос, кому он может быть полезен и в каком виде.