Что касается проверки подлинности форм, то она предназначена для людей, в которых веб-служба предназначена для использования клиентским приложением. Хотя аутентификацию можно проводить таким образом, это неправильный способ мышления.
Уровень необходимой безопасности, очевидно, зависит от чувствительности данных, с которыми вы работаете, но я собираюсь предположить, что они как минимум несколько чувствительны (но меньше, чем банковские транзакции). Возможно, вы могли бы использовать SSL и передать имя пользователя и пароль, как предлагал jle, пока я набирал это, или вам мог бы потребоваться ключ API, как это делает flickr.
Еще один более безопасный вариант - передать имя пользователя и пароль только один раз (и с безопасностью ssl) и выдать токен, действительный в течение определенного периода времени. Это дает преимущество в защите информации о паролях и позволяет избежать постоянных издержек ssl.
Как уже упоминалось, это сильно зависит от того, КАК конфиденциальная информация, которую вы пытаетесь защитить.