Какую задачу решаете?
Зачем избегать передачи имени/пароля?
Ну передаётся и передаётся, в чём проблема-то?

Нафиг никому не нужен подобный "аудит" :)

Дык есть реальная проблема, а есть надуманная.
Проснулся такой ночью в поту — "етить, не безопасно же!!!!" и всё... понеслась душа в рай :)

Вот и хочется понять характер проблемы и суть задачи.

Стандартные средства сервера "решают" только для успокоения души админа.
На вопросы бизнеса такой аудит нифига не отвечает.

Разработчик бекенда вставит в журнал такую запись (или записи), с которой можно работать. Там будет и привязка к бизнес-процессу, и контекст и всё, что нужно для получения информации и построения понятных красивых отчётов.

Смотря какие хранимки конечно. Если там бизнес-логикой всё обмазано, то это уже труп :)

Ну как бы ноги у такого аудита растут понятно откуда.
Как бы почти забесплатно получить полноценный аудит :)
Типа одним решением обмазать всё и защититься до коликов.

Но на деле, если чуваку с нужными правами нужно будет обойти этот аудит, он это сделает.

Ну так и зачем он нужен стандартный?
Сколько случаев на практике он принёс какую-то пользу?

Я понимаю, что "требуют", смотря кто. Если бизнес, то стандартный не выдерживает требования, ибо совершенно монопенисуально когда и под какой учёткой было изменено значение поле одной из тысяч таблиц и миллионов строк. Важно что происходило по бизнесу, какой сценарий и кто он бизнес пользователь. Ну и отчётики само собой +100500 штук в совершенно дичайших инетрпертациях, отсаженные в отдельную копию.

Бывает, что партнёры заходя под своей учёткой могут дальше выбирать на какой (условно) точке работать (т.е. после аутентификации, ещё авторизуются), где совершенно разные роли и процессы. А ещё есть сумашедшие сценарии, когда пользователь делегирует свои права на конкретной точке другому пользователю в рамках итеративного процесса.