Un modo più semplice sarebbe autenticarsi alla prima query, creare un record di sessione sul lato server contenente l'indirizzo IP remoto e un token che si fornisce al client come authToken. Quindi chiedi al client di passare questo authToken nelle query future. Questo authToken deve corrispondere ai dati della sessione interna che conservi sul client, ma ti consentirebbe di evitare di dover effettuare round trip al database solo per eseguire l'autenticazione.
Detto questo, @Marcus Adams ha un buon punto di seguito riguardo all'apolidia. Ci sono persone là fuori che spingono tutti i tipi di modelli di sicurezza SOAP . WS-Security è lo stato dell'arte attuale, qui. Funzionano tutti inserendo le informazioni di autenticazione nell'intestazione SOAP - dopotutto, ecco perché un messaggio SOAP contiene sia un'intestazione che una parte del corpo.
