Я вам не Димон.,

каша из непонятно чего...
нет такого термина "виртуальный пользователь"
есть пользователь системы и пользователь субд.
все пользователи системы имеют логин/пароль которые хранятся в базе
и отвечает за авторизацию пользователя системы серверное приложение, которое обращается к базе с логином/паролём "пользователя базы" (вполне возможно что это может быть и root)
серверное приложение разруливает правами кто и что может выполнять в базе.

Я вам не Димон.Далее веб-сервер должен вызывать другие функции этой БД, но в контексте пользователя vasya.
Как это реализовать, если пользователь vasya - это не пользователь СУБД, а просто запись в таблице T_USER ?не веб-сервер, а серверное приложение - 2 звено
для конкретного пользователя vasya и должно вызвать нужное, то что разрешено этому васи

Petro123В веб будет обезличенный пользователь без прав DML и в функциях не разруливают обычно.
Вне бд разруливают.+100500
mad_nazgulПо хорошему тут БД не причем.
Т.е. надо сделать нормальную трехзвенную архитектуру.
Где доступ и роли для работы с БД будут определяться на сервере приложений.
Там же можно будет сделать логгирование действий пользователя.+100500

тут ужо всё сказано , добавить нечего

L_argoОтветы в специфичном для скл.ру стиле. Как можно минимум инфы по существу.

Если все юзеры будут ходить под одним БД-эккаунтом, то неизбежно придется везде передавать или откуда-то зачитывать ID юзера из T_USER.
Допустим перед обращением к к-л серверному запросу делать выборку с ID юзера, на предмет, имеет ли этот юзер право на выполнение этого конкретного запроса.
Если запрос/функция внутри должны знать этот ID (например чтобы отсечь "чужие" записи), то неизбежно надо как-то передавать этот ID в запрос, ф-цию или ХП.

пысы: чудес не бывает.это разруливается намного раньше
тот же вася видит только то что ему ререшено и это показывает серверное приложение.
и все действия , которые разрешены васе обеспечивает серверное приложение.
вася просто не может сделать то что ему не разрешено и база здесь только хранилище разрешений конкретному юзеру

Я вам не Димон.Ну да, я об этом и писал, что придётся таскать ID_USER при каждом вызове функции. Просто я думал, что есть какие-то другие методы, более правильные, а тут начали троллить.не надо никуда таскать
если пришёл запрос серверному приложению - оно однозначно знает от кого пришёл запрос.
уже в самой форме/странице отражены те варианты , которые доступны для данного юзера/роли