Что мешает клиентам службы на основе REST совместно использовать выданный токен STS?
Токен на предъявителя подобен паролю и может передаваться или воспроизводиться.
Codeplex Link