Se non sbaglio, solitamente, all'utilizzatore viene fornita una chiave alfanumerica che lo identifica univocamente (poichè viene scambiata tra server non c'è il problema di esporre all'utilizzatore la chiave).
Sapendo chi è il server utente del tuo web service, avrai anche un metodo (sviluppato da te) per definire cosa può o non può richiedere.