User-Login Mechanismus

Web Service Security ist jedenfalls ein standardisiertes Verfahren, wobei es hier div. Untervariante gibt. Die einfachste Variante ist das sog. Usernametoken-Profile.
Dabei werden im SOAP-Header die WSSE-Informationen, u.a. mit Username, Passwort-Information, Zeitpunkt zu dem die Nachricht erzeugt wurde und einem Zufallsstring (dem sog. nonce) mitgesendet. Und dies bei jedem einzelnen Aufruf. D.h. es gibt keinen ersten Log-In-Schritt. Aus dem Usernamen, dem Erstellungszeitpunkt dem Zufallsstring und dem Passwort wird dann ein Hash gebildet und wird dann als die Passwort-Information mitgesendet. Typischerweise ist eine Nachricht für 5 Minuten gültig, d.h. eben auch, dass Server und Client über recht genau gehende Uhren verfügen müssen. Wenn man das geheime Passwort nicht kennt, dann kann man auch keine gültige Nachricht erzeugen. Aber ein Angreifer könnte eine valide Nachricht abfangen und nochmal senden. Um diese Bedrohung zu unterbinden wird der Zufallsstring und die Erzeugungszeit mit in die Securityinformationen aufgenommen. Wenn eine Nachricht nur für eine kurze Zeit gültig ist, und der Server einen Cache über die in dieser Zeitspanne verwendeten Zufallsstrings (über die ja auch der Hash gebildet wird) vorhält sind diese sog. Replay-Attacken abgewehrt. Soweit zur Erklärung was WS-Security ist.
Ob Delphi diese Erweiterung direkt unterstützt weiß ich leider nicht. Aber wenn Du die SOAP-Nachricht 'per Hand' um diese Elemente erweitern kannst dann geht es zumindest prinzipielle in Delphi.

Gruß