Ett enklare sätt skulle vara att autentisera på den första frågan, bygga en sessionspost på serversidan som innehåller fjärr-IP-adressen och en token som du ger till klienten som en authToken. Låt sedan klienten skicka detta authToken i framtida frågor. Denna authToken måste matcha de interna sessionsdata du har om klienten, men skulle tillåta dig att undvika att behöva göra rundresor till databasen bara för att göra autentisering.
Som sagt, @Marcus Adams har en bra poäng nedan när det gäller statslöshet. Det finns människor där ute som driver alla möjliga typer av SOAP-säkerhetsmodeller . WS-Security är det aktuella läget, här. De fungerar alla genom att lägga in autentiseringsinformation i SOAP-huvudet - trots allt är det därför som ett SOAP-meddelande innehåller både en rubrik och en kroppsdel.