Łatwiejszym sposobem byłoby uwierzytelnienie przy pierwszym zapytaniu, zbudowanie rekordu sesji po stronie serwera zawierającego zdalny adres IP oraz token, który przekazujesz klientowi jako authToken. Następnie poproś klienta o przekazanie tego authToken w przyszłych zapytaniach. Ten authToken musi być zgodny z wewnętrznymi danymi sesji, które przechowujesz o kliencie, ale pozwoli Ci uniknąć konieczności wykonywania podróży w obie strony do bazy danych tylko w celu uwierzytelnienia.
To powiedziawszy, @Marcus Adams ma poniżej dobrą rację dotyczącą bezpaństwowości. Są ludzie, którzy promują różne modele bezpieczeństwa SOAP . WS-Security jest obecny stan wiedzy tutaj. Wszystkie działają poprzez umieszczenie informacji uwierzytelniających w nagłówku SOAP - w końcu dlatego wiadomość SOAP zawiera zarówno nagłówek, jak i część ciała.
