По-лесен начин би бил да се удостоверите при първата заявка, да създадете запис на сесия от страна на сървъра, съдържащ отдалечения IP адрес и токен, който давате на клиента като authToken. След това накарайте клиента да предаде този authToken в бъдещи заявки. Този authToken трябва да съответства на данните за вътрешната сесия, които съхранявате за клиента, но ще ви позволи да избегнете необходимостта да правите двупосочни пътувания до базата данни само за извършване на удостоверяване.
Въпреки това, @Marcus Adams има добра точка по-долу по отношение на липсата на гражданство. Има хора, които налагат всякакви SOAP модели за сигурност . WS-Security е текущото състояние на техниката, тук. Всички те работят, като поставят информация за удостоверяване в SOAP заглавката - в края на краищата, това е причината SOAP съобщението да съдържа както заглавка, така и част от тялото.