c'è scritto "(ad esempio)"...
dovevo scrivergli che doveva generare un token di autorizzazione in modo da avere certezza di chi chiamava che cosa, poi una volta autenticati i sistemi passare i dati crittografati usando chiamate web service?

sono del parere che non conoscendo il contesto a cui ci si riferisce non si possono dare indicazioni puntuali

la sessione (correttamente implementata) può anche essere una soluzione ottimale per un determinato caso, onde evitare di usare un bazooka per ammazzare una mosca...