JSP ao pegar perfil do usuário no SQL Server

estou com uma aplicação toda em JSP e estou tendo um problema, queria uma ajuda para ver como eu posso solucionar o problema.

Ao digitar no browser o endereço da minha aplicação ele abre uma janela pedindo o login e a senha e vai no meu servidor de dominio que é um NT Server e me autentica lá, se tiver correto ele abre
minha aplicação, beleza até ai isso tá funcionando ok, mais depois disso ele pega o usuário que foi autenticado e vai no meu banco (sql server) e pega o perfil que o usuário tem acesso se ele pode excluir registro, se pode cadastrar, etc.
O problema é o seguinte no meu banco de dados só tenho uma tabela com todos os usuários não tenho nenhuma tabela com senha dos logins.
Está tendo uma falha que é a seguinte, um cara com bom conhecimento ele pode fazer o seguinte autenticar no dominio como usuário X acessar minha aplicação e depois na hora de ir no banco pode ir dizendo que é o usuário Y e pegar o perfil do usuário Y que pode excluir, apagar, tem acesso full, ele passa para o banco pedindo o perfil do usuário Y, sendo que ele foi autenticado como usuário X que não tem acesso full.
Já pensei em abrir outra janela para autenticar novamente e ir ao banco
mais o pessoal aqui do meu serviço não quer outra tela para o usuário se logar novamente.
Eu tinha feito a aplicação para se autenticar diferente, o usuário
digitava no browser o endereço, ai aparecia uma tela para digitar o login e
a senha e se ele nunca tinha entrado antes tinha que se cadastrar e assim
não teria esse problema, mais o pessoal aqui quer usar a senha que
é usado no servidor de dominio para logar na rede.
Eu tinha criado no banco uma tabela com encriptação das senhas, mais eles não querem que o usuário tenha que se cadastrar para acessar esse sistema eles querem que usemos o mesmo login e a mesma senha da rede.[/b]

o cara se autentica no servidor como X e beleza ele acessa a aplicação, na hora da aplicação abrir ele só pegar o nome do usuário que logou (no caso “X”), mais o carinha (com bom conhecimento) pode muito bem colocar uma página por trás da minha e ir no banco de dados e na página por trás o usuário que ele tem é o Y ai ele vai no banco e pega o perfil do Y, mais quem autenticou foi o X. :wink:

Na hora da autenticação, vc guarda quem está logado não é?
Então, na hora da autorização, vc pega o dado que ele está querendo enviar e compara com o que vc tem guardado. Se os dados forem iguais, vc tem certeza que o usuário é quem ele diz ser. E pode pegar os dados do banco sem problema.

Não entendi uma coisa: Como que um usuário X vai no banco de dados dizendo que é uma pessoa Y? :roll:

[size=“7”]PS.: Pq as únicas profissões que tem como clientes usuários, são as de traficantes e os programadores?[/size]

Fuçando agora de manhã, vi isso aqui: http://www.theserverside.com/blogs/showblog.tss?id=ServletApp

Talvez ajude