Eine einfachere Möglichkeit wäre, sich bei der ersten Abfrage zu authentifizieren, einen Sitzungsdatensatz auf der Serverseite zu erstellen, der die Remote-IP-Adresse und ein Token enthält, das Sie dem Client als authToken geben. Lassen Sie den Client dann dieses authToken in zukünftigen Abfragen übergeben. Dieses authToken muss mit den internen Sitzungsdaten übereinstimmen, die Sie über den Client führen, würde es Ihnen jedoch ermöglichen, Roundtrips zur Datenbank zu vermeiden, nur um die Authentifizierung durchzuführen.
Trotzdem hat @Marcus Adams einen guten Punkt in Bezug auf Staatenlosigkeit. Es gibt Leute da draußen, die alle Arten von SOAP-Sicherheitsmodellen vorantreiben . WS-Security ist hier der aktuelle Stand der Technik. Sie alle funktionieren, indem sie Authentifizierungsinformationen in den SOAP-Header einfügen - das ist schließlich der Grund, warum eine SOAP-Nachricht sowohl einen Header als auch einen Bodypart enthält.