Immer bei Apps gegen eine APi arbeiten!
NIE NIE NIE gegen die Datenbank direkt von Apps aus arbeiten.
Du legst damit die Datenbank direkt ins Netz offen, dann braucht man sich auch nicht über Datenlecks wundern.
Ebenfalls musst du dann in der App die Zugangsdaten zur DB verteilen, was Einbrüche noch weiter erleichtert.
Bei einer Api ist die Datenbank abgeschottet.
Ebenfalls kannst du erst mit einer vorgeschalteten Api sowohl Zugriffsrechte mit deiner Anwendungslogik steuern als auch weitere Maßnahmen wie Caching etc. umsetzen.
Die Umsetzung ist auch bei Microsoft gut dokumentiert.
Doku
T-Virus