Für eine klassische Client/Server Anwendung mag das zutreffen. Bei einer mehrschichtigen Anwendung oder auch einen Webinterface wird sich der Anwender in der Regel nicht direkt gegen die Datenbank identifizieren. Hier sollte dies dann auf Anwendungsebene passieren.

Ich mache das immer so:

• Kennwort für die Datenbank wird als verschlüsselter String in der Anwendung gespeichert und erst zur Laufzeit entschlüsselt, z.b. Blowfish Algorythmus). Der Key befindet sich ebenfalls in der Anwendung und sollte möglichst Sonderzeichen enthalten. Ist bei uns nicht sicherheitskritisch, da die Datenbankanbindung über einen Delphi SOAP Server stattfindet. Die Clients greifen nur über SOAP auf den Server zu.
• Benutzer werden in einer Tabelle gespeichert (ID,Benutzername,Kennwort,etc...)
• Für Benutzerrechte gibt es eine entsprechende Tabelle (Benutzer_ID,Mandant,Recht).
• Alle Funktionen der Anwendung sind als Aktionen (TAktion) definiert und es muss nur die Eigenschaft Enabled entsprechend gesetzt werden, dies mache ich gleich nach der Anmeldung.

Gruß,
Marcel