Come per quando fai un'area privata devi fare un login, stessa cosa succede nei webservices che richiedono di "distinguere tra di loro gli utenti"

- inserisci un metodo per la login (login come ti pare, user+passw,certificato,etc)

alla login creerai un "token" che ti salverai nel db associandolo all'utente, e tornerai tale token all'utente nella risposta del webservice

Fatto ciò, in tutte le richieste che richiedono l'autenticazione, l'utente aggiungerà nell'header della chiamata al webservice il token ottenuto in precedenza, in maneira che tu nel webservice possa leggere tale token e controllare quindi che l'utente sia loggato e abbia i permessi necessari