Een eenvoudigere manier zou zijn om te authenticeren bij de eerste query, een sessierecord aan de serverzijde op te bouwen met het externe IP-adres en een token dat u aan de client geeft als een authToken. Laat de client dit authToken vervolgens doorgeven in toekomstige query's. Deze authToken moet overeenkomen met de interne sessiegegevens die u over de client bewaart, maar zou u in staat stellen te voorkomen dat u naar de database hoeft te reizen alleen om authenticatie uit te voeren.
Dat gezegd hebbende, heeft @Marcus Adams hieronder een goed punt met betrekking tot staatloosheid. Er zijn mensen die allerlei SOAP-beveiligingsmodellen pushen . WS-Security is de huidige stand van de techniek, hier. Ze werken allemaal door authenticatie-informatie in de SOAP-header te plaatsen - daarom bevat een SOAP-bericht zowel een header als een bodypart.