Возможно, самый простой способ - обмен токеном аутентификации между вашими клиентами и вашим WS. Первый клиентский вызов будет аутентификацией. WS вернет токен, который должен быть передан во всех следующих вызовах для учетных данных клиента. Вы можете установить срок действия на токене. Вы можете использовать свойства заголовка SOA для этого
При таком подходе преимущество заключается в том, что вашему WS не нужно повторять процедуру аутентификации / авторизации снова и снова, и вы получаете полное преимущество контроля над тем, кто использует приложение