В контексте минусов десктопа вспомнилась необходимость как-то логиниться к базе. То есть второе звено, оно же десктоп, напрямую стучится к первому звену, оно же база. И как ему стучаться, если нет юзера/пароля? Поэтому юзер хранится где-то в коде или в настройках или ещё где. Но это, безусловно, до первого начинающего хакера. Выход здесь в создании третьего звена (сервер приложений), но фанаты двузвенки могут иметь своё мнение.

Поэтому вопрос разработчикам двузвенок - вы как в своих творениях пароли храните?

miksoftalex55555вы как в своих творениях пароли храните?В головах пользователей.
То есть юзер напрямую цепляется к базе и уносит домой список клиентов, или правит этот список апдейтом, ну или ещё чего недозволенное делает?

miksoftЕсли у него есть полномочия этот список видеть, то он и в учетной программе его нормально увидит без всякого "напрямую цепляется к базе". Если нет - не увидит ни так, ни эдак.
Ох уж мне этот детский сад...

Покупателям софта очень часто впаривают "гибкое и безопасное" решение. Типа можно потыкав всякие галочки гибко настроить права для любого юзера. И бизнес покупается, потому что не хочет, что бы секретутка на ресепшене сливала конкурентам всю инфу по клиентам. И вот настроил бизнес доступ для девочки, а пароль miksoft ей дал напрямую к базе, и...

Девочка запускает стороннюю тулзу и тупо селектом сливает всю тысячу столь важных для данного бизнеса клиентов. miksoft, если ты когда-нибудь продавал программное решение, то ты знаешь, как дорого стоит получить инфу по 1000 клиентов, готовых купить твой продукт. Но ты не знаешь, как защитить бизнес от подобных атак.

ЗЫ. Девочке максимум дают право поиска по фамилии, что бы сказать "здравствуйте Иван Иванович, пройдите в кабинет 48". А ты ей дал все возможности для слива всех клиентов за 5 минут.

КритикWin-авторизация не решит ооблемы отца русской демократии?
Как вин-юзер конвертируется в бд-юзера?

ВМоисеевДумаю, что вопрос несколько шире - как хранить настройки клиентского приложения. Экспериментирую с вариантом хранения файла настроек в криптоконтейнере - при старте файл настройки достаём из контейнера (по паролю клиента), получаем параметры и уничтожаем файл настройки.
Настройки хранят в базе, а доступ к ним ограничивается тем же способом, что и ко всей остальной информации. Для трёхзвенки - тривиально. Для двузвенки - пока не вижу решений.

полудухв шифрованном виде.
Слыхал, сколько времени нужно, что бы взломать недавно появившуюся популярную игрушку? Подскажу - день.

Dimitry Sibiryakovalex55555И вот настроил бизнес доступ для девочки, а пароль miksoft ей дал напрямую к базе, и...
И получает ошибку "недостаточно прав для чтения", поскольку понятия не имеет как указать роль, которая ей настроена.
В БД есть юзер и его права. Какие ещё роли нужны?

Arm79через Win - аутентификация.
в БД - авторизация.

Спокойно в БД указываем полномочия для win-пользователя, и никаких заморочек с хранением паролей
Сам по себе пароль не интересен. Интереснее, если утекут важные данные. Хотя да, формально - это ответ на вопрос в теме. Но он не показывает, как гибко ограничить доступ к БД.

ViPRosтут много таких как ты, которые плавают в вопросе, но учат жить:)
Ну так научи меня, как же ты в вопросе "не плаваешь"? :)

Arm79Зачем дополнительно ограничивать доступ к информации более, чем установлено настройками в самой БД?
Потому что бизнес хочет. Если девочка видит только ФИО, то для слива информация бесполезна. И вот так надо настроить для двух девочек, но для одной ФИО, а для другой Ф и год рождения. И всё это галочками, что бы сам бизнес настраивал.

Слабо? А на трёхзвенке - ноль проблем.
Arm79Кажется, что доступ по ролевой модели более чем гибок. Не идеально, конечно, но если речь о 2звенке, то 99% потребностей удовлетворит.
Вот именно, что не все проценты. И 99 здесь - явно завышенная оценка. При чём ролевую модель нужно как-то поддерживать, но как? БД такой ерундой не занимается, там строго юзер и его права.

Теоретически есть вариант всё (то есть абсолютно) писать в хранимках, но это же адский ад и израиль в одном флаконе! Плюс ещё уметь эту хрень правильно в БД настроить, что тоже не всегда тривиально. В итоге - адская сложность ради потакания лени изучить веб-технологии, ну или на худой конец без веба почитать про сервер приложений для десктопного клиента.