我现在VC6.0编写的客户端通过SOAP调用服务器提供的WebService来加载服务器中的数据记录到客户端报表显示。现在客户端需要调用WebService对数据记录进行增删改操作，这个涉及到用户权限问题。 
（1）一种最简单的想法就是为每个需要权限验证的WebMethod添加UserName和PassWord参数，这样每次调用WebService都要传账户密码参数。很明显问题就是账户密码都内化在代码里，一旦编译后，只能以传递账户密码。这个显然问题很大。 
另外，安全性如何？ 
（2）为WebMethod添加SoapHeader，这样VC++6.0通过SOAP调用每一个涉及到权限检查的WebService时都得填充SoapHeader。另外，安全性？ 
（3） 
我现在想在服务端设置一个全局变量bLogin，然后写一个登陆的WebService-bool Login（UserName，PassWord）;return bLogin;以后的每个WebMethod中都要进行bLogin状态判断。 
在客户端也设置一个全局变量bLogin初始化为false，调用涉及到权限检查的WebMethod时，先在客户端检查bLogin==true？，若bLogin==false将弹出登录对话框，然后调用Login WebService，获取返回值赋给bLogin；若bLogin==true则直接调用WebService，这样保证了客户端增删改时先登录。 
这个貌似两边都要检查？然后直接写一个登录的WebService，安全吗？ 
（4）能不能实现类似登陆网站后的持久会话？session?cookie? 
我初学SOAP，WebService，对session、cookie都不太懂，这几天都在找资料学习，还是没能想出来，希望大家给点建议或提示，小弟先谢过了~