Die HTTP Jobs sind ja grundsätzlich am System schon angemeldet. Dementsprechend läuft alles unter dem QTMHHTTP User.
Die HTTP-User sollten nicht viele Rechte haben.
Auch kann dies durchaus Sicherheitslücken haben, wenn auf einem System Tabellen, Programme & Co für *PUBLIC *ALL hinterlegt ist.
In der HTTP Konfig kann man teilweise dort Einschränkungen vornehmen.
Man kann auch in der HTTP Konfig hinterlegen, dass für diesen HTTP Request ein IBM i Benutzer angemeldet sein. Dann erscheint ein mal ein Anmelde Pop-up und dann werden die Aufrufe unter demjenigen ausgeführt, der sich angemeldet hat.
Es gäbe auch die Möglichkeit der Validation List. Hier würde aber am Ende auch alles wieder unter dem QTMHHTTP-User. Jedoch ist der Zugriff von Außerhalb besser eingeschränkt.