Tengo un servicio web público de WCF que funciona a través de https. Hay muchas restricciones técnicas en el lado del cliente, por lo que no puedo usar ningún esquema avanzado como auth. He registrado usuarios y algunos de ellos pueden acceder al servicio WCF usando sus credenciales. ¿Deben las credenciales del cliente pasar con cada solicitud o puedo diseñar un método de inicio de sesión que genere algún token que pueda usarse para acceder a mi servicio? ¿Cuál es más seguro? ¿Cuáles son los requisitos para el token?