Yo lo que hago, es requerir en las funciones del webservice usuario y contraseña, para poder utilizarlos y los valido contra una BD al igual que en webforms, luego agrego medidas de seguridad como certificados cliente... para evitar ataques por fuerza bruta, así como encriptación, obligatoriedad de SSL, etc....