Un moyen plus simple serait de s'authentifier lors de la première requête, de créer un enregistrement de session côté serveur contenant l'adresse IP distante et un jeton que vous donnez au client en tant que authToken. Ensuite, demandez au client de transmettre ce authToken dans les requêtes futures. Cet authToken doit correspondre aux données de session internes que vous conservez sur le client, mais vous éviterait d'avoir à faire des allers-retours vers la base de données juste pour faire l'authentification.
Cela dit, @Marcus Adams a un bon point ci-dessous en ce qui concerne l'apatridie. Il y a des gens qui proposent toutes sortes de modèles de sécurité SOAP . WS-Security est l'état actuel de l'art, ici. Ils fonctionnent tous en mettant des informations d'authentification dans l'en-tête SOAP - après tout, c'est pourquoi un message SOAP contient à la fois un en-tête et une partie du corps.
