Здравствуйте. С недавних актуальным для нашей организации стал вопрос о сокрытии деталей подключения к БД (MS SQL), а именно логин/пароль.
Начну с очевидных вещей: для того, чтобы программа могла подключиться к БД, она должна передать ей логин и пароль. И вот тут у меня вопрос: каким образом сделать это удобно и безопасно? Хранить эти данные в программе или конфигурационном файле - небезопасно (хотя приходится пока так). Раздать персональные логины для БД пользователям - жутко неудобно: во-первых, подключение происходит не к одной, а к трем базам данных, а значит нового пользователя, роли и права нужно будет определять сразу для трех баз. Клиентов много и текучка большая: регулярно приходится создавать новых пользователей, удалять старых. Причем интерфейс у каждого свой и доступ к данным ограничивается как вертикально, так и горизонтально. Может быть кто знает решения для подобной проблемы? Заранее благодарен.

перейти на дефолтную для mssql, с давних пор, виндовую авторизацию... все, проблема решена. вернее ее и не было вовсе.

т.е. все пользователи у вас подключаются под одним логином видимо, рулением прав занимается приложение
Я верно понял?

А тогда зачем вообще что-то прятать особо?

С виндовой авторизацией вот что не понятно мне: фактически, пользователь запросто подключается к MS SQL просто залогинившись в винду.
Но тогда я снова не понимаю: а зачем от него в таком раскладе прятать логин/пароль SQL-авторизации? ну если про озвученную задачу говорить. он что залогинившись в винду имеет подключение к MS SQL, что посмотрит на SQL-авторизацию и залогинится.
(мы же боремся за невозможность залогиниться пользователю в обход нашего приложения говорим? или про что?)

> запросто подключается к MS SQL просто залогинившись в винду.
или не подключается, если прав ему не дано... то что учетка не SQL-ная не означает, что у нее права не регулируются. регулируются, от 0 до админа.

> а зачем от него в таком раскладе прятать логин/пароль SQL-авторизации?
обычно переходя на виндовую убирают SQL-ную (вернее сейчас так как раз по дефолту), "обойти" не получится. ну если конечно не хакер взломавший винду/домен и получивший данные с паролем от чужой учетки.