Genau das ist doch das große Sicherheitsproblem:

Benötigt ein Benutzer mit seiner persönlichen Anmeldung die Datenrechte so stehen diese automatisch für ODBC zur Verfügung.
Bei klassischen 5250-Anwendungen konnte man sich noch mit einem APP-User und Owner-Berechtigung des Startprogrammes behelfen. Dies klappte auch für journalisierte Anwendungen.
ODBC-Zugriffe konnten somit verhindert werden.

Bei Client-Server-Anwendungen und Zugriffen über ODBC/JDBC/DRDA usw. ist es aus mit geerbter Berechtigung.
Die Anmeldung mit einem APP-User scheidet aus o.a. Gründen im Wesentlichen aus.
Was bleibt ?
Genau:
Eigene User-Verwaltung (ggf. mit verschlüsseltem Kennwort)
ODBC-Anmeldung mit APP-User, aufruf einer Prozedur mit User/Kennwort zur eigentlichen Anmeldung und Umschaltung auf das tatsächliche Profil (das nun eben kein bekanntes Kennwort hat).

Gut, dieses geht tatsächlich nur, wenn man keine 5250-Zugriffe mehr benötigt.