novexelfНа сервере БД заводится логин с конкретным паролем, которые выдаются пользователю. Пользователь хранит логин/пароль в голове. Либо аутенификация/авторизация идет через керберос/домен. Но даже в этом случае пользователь хранит пароль от учетки в голове, только теперь учетка другая.
В БД создаются необходимые хранимые процедуры, функции и представления.
В БД создаются роли/группы, которым выдаются конкретные права на запуск хранимых процедур, функций и просмотр представлений.
Доступ к таблицам пользователю не выдается.
Объекты БД используются приложением.
Если пользователю приложения выдается доступ к какому-то объекту по долгу службы, то он и в БД увидит тоже самое, но не больше и нет тут ни какой проблемы.
Не должен кто-то видеть все записи, а должен быть только поиск, значит нужно сделать соответствующую процедуру, которая выдаст только одну запись. Не должен видеть какие-то записи, значит делается так, чтобы они были видны.
Нет там проблем.
Это был озвучен подход типа "всё в хранимых процедурах". Я согласен, теоретически оно работает. Но ещё раз повторюсь - что-то сложное вы застрелитесь рисовать. Простой пример из реальной практики - гуру ваял вот так же свои шедевры в БД и делал это очень долго , потом тупо прикрутили тривиальный аналог на VB и студент с нуля во всём разобрался сам за неделю и как из пулемёта начал выдавать фичи, которые гуру делал неделями.

maytonДа почитай же про авторизацию в Windoiws-домене.
Винда как-то магически лазит в БД и не даёт селектить лишнего?

ViPRosВот на этой студии и пишешь для MSSQL :)
То есть ты на т-sql пишешь свой редактор онтологии?

Petro123Гуглим SSO.
Оно занимается аутентификацией, а не правами что можно и что нельзя.
Т.е. удостоверяет что это Петров из одноклассников.
Так что ваш ответ неверен.[/quot]
Оно даёт вход с одним паролем во все щели. При этом внутри щелей оно никак и ничего не определяет. Та же фигня с виндой.

Ну а незнание - оно работает везде, да.

ВМоисеевРаскручивая файл настройки (или - как вариант- обращаясь к WCF сервису) пускач получает имя/пароль
Что помешает тот же файл раскрутить вручную?

Petro123Какие щели если роли my_roles разные?
Ты юз кейс-то хотя бы прочитал?

ВМоисеев<Вариант 1: файл настройки в криптоконтейнере на компьютере клиента. Кто конкретно будет раскручивать?
Раскручивать будет хакер. Он знает, как вскрывать крипто-контейнеры.

maytonНа втором шаге ты читаешь как устроен Oracle VPD (Virtual Private Databases), или Oracle OLS (Label Security)
Ну так а кто конфигурить-то это всё будет? Я же писал кейс - юзер должен галочками. Всем здесь тупо лень читать?

ViPRosна шарпе
Ну, а следующий шаг - как ты обеспечиваешь безопасность своей онтологии? Как запрещаешь юзеру прочитать или изменить её?