Az nem ugyanaz a progléma? Nem az a problema, ha a user a sajat accountjat (akar DB, akar API szinten) megadja a lokalisan futo appnak, hanem ha az app, amit odaadunk a usernek, mar tartalmazza a secret reszt a connection stringbol.