обычно такие вещи делаются с помощью токенов. т.е. при первом запросе клиент идентифицируется в системе и получает уникальный токен ( число\строка\хеш ) и все последующие сообщения уже отправляет с этим токеном и на его основе определяются его права и возможности.
если есть возможность, я бы глянул в сторону spring-ws и spring-security. они более или менее успешно пытаются предоставить для всего этого удобное апи. и работают почти из коробки. но я сомневаюсь в целесообразности.