En nemmere måde ville være at godkende på den første forespørgsel, opbygge en sessionspost på serversiden, der indeholder den eksterne IP-adresse og et token, som du giver til klienten som et authToken. Lad derefter klienten videregive dette authToken i fremtidige forespørgsler. Denne authToken skal matche de interne sessionsdata, du opbevarer om klienten, men vil tillade dig at undgå at skulle foretage rundrejser til databasen bare for at udføre godkendelse.
Når det er sagt, har @Marcus Adams en god pointe nedenfor med hensyn til statsløshed. Der er folk derude, der skubber alle mulige slags SOAP-sikkerhedsmodeller . WS-Security er den aktuelle state of the art, her. De fungerer alle ved at lægge autentificeringsoplysninger i SOAP-headeren - det er trods alt derfor, at en SOAP-meddelelse indeholder både en header og en kropsdel.