Tach,

Na ich will doch nicht, dass ein User mein Javaprogramm dekompilliert und dann den Datenbankzugang kennt, der ggf. alle möglichen relevanten Daten enthält.

sobald der Code im Kontext des Users läuft, hast du die Kontrolle darüber verloren; alles, was der User mit den Zugangsdaten machen könnte, kann er auch durch andere Manipulationen am Programm erreichen.

Es könnte doch z.b. sein, daß ich ein Messagesystem habe, das alle Nachrichten aller User verwaltet. Dann will ich doch nicht, daß User1 auch die Messages von User2 lesen kann?!

Richtig, deswegen, darf der Account von user1 nicht die Rechte haben, über die API auf die Daten von User2 zuzugreifen, aber das musst du am serverseitigen Ende der API sicherstellen, auf der Clientseite kannst du keine Sicherheit erreichen. Ein Sicherheitskonzept, das darauf beruht, dass ein potentieller Angreifer sich an die Regeln hält, kann nicht funktionieren.

Na, im Grunde will ich doch seteuer, wer wo wie was lesen kann, usw. Und das will/kann ich ggf. nicht komplett dem DB Rechtesystem überlassen.

Wenn deine Datenbank nicht die nötigen Tools enthält (oder du nicht für jeden User einen DB-User haben möchtest), um den nötigen Schutz zu liefern; kannst du halt von deinem Client-Code aus nicht direkt auf die Datenbank zugreifen, sondern musst eine Abstraktionsebene haben, die sich darum kümmert.

mfg
Woodfighter