Una forma más fácil sería autenticarse en la primera consulta, crear un registro de sesión en el lado del servidor que contenga la dirección IP remota y un token que le da al cliente como authToken. Luego, haga que el cliente pase este authToken en consultas futuras. Este authToken tiene que coincidir con los datos de la sesión interna que guarda sobre el cliente, pero le permitiría evitar tener que hacer viajes de ida y vuelta a la base de datos solo para realizar la autenticación.
Dicho esto, @Marcus Adams tiene un buen punto a continuación con respecto a la apatridia. Hay gente por ahí impulsando todo tipo de modelos de seguridad SOAP . WS-Security es el estado actual del arte, aquí. Todos funcionan colocando información de autenticación en el encabezado SOAP; después de todo, es por eso que un mensaje SOAP contiene tanto un encabezado como una parte del cuerpo.
