Nella dichiarazione del wsdl, basta che inserisci un campo che contiene la chiave (tipo un md5 o qualcosa del genere). Lato server ti basta controllare quella chiave.
Questo metodo vale in generale per proteggere lameno a livello base i webservice.
Nel caso che sia previsto un accesso "ad personam", ovvero l'utente "pippo" ha permessi specifici e fa cose che l'utente "pluto" non può fare, allora conviene impostare due campi, utente e password, che passi al server. Lato server quindi ricevi i due valori e li confronti con i record nel db. Se è autorizzato ad accedere, ti crei un metodino che verifica i permessi per la tal funzione