Аз леко заспал чета поста, но пак имам чувството, че нещо архитектурата ти куца
Ако не е регистриран потребител => всички потребители с еднакви креденшъли ли поръчват ? Сблъскахме се наскоро с подобен проблем, че няма как да поддържаме реална сесия при СОАП комуникация и съответно направихме следното: клиента е регистриран, при първата заявка към уеб сървиса подава усер и пасс, ако се ауторизе-не правилно сървъра генерира уникален хеш който служи реално за сессион ид и се връща на клиента. Следващата заявка от клиента е със този хеш вече, той се поема от сървиса, знае се кой е клиента, обработва се заявката, генерира се нов хеш за този усер (за да няма брутфор-сване на хешове), връща се на клиента и т.н. Дано идеята те наведе на някакво решение
Поздрави.