Amazon Web Services (http://aws.amazon.com) haben dazu ein ganz simples Konzept und auch die komplette Doku online: es gibt kein Login und keine Sessions, sondern jeder Aufruf einer Web Service Methode enthält ein Authentifizierungstoken. Dieses erstellt man indem bestimmte Daten verschlüsselt werden (Name der Methode, aktuelle Uhrzeit). Der Server entschlüsselt dieses Token. Man kann also nicht einfach einen Aufruf abfangen und später noch einmal senden, da der Server erkennt dass er 'veraltet' ist.

Nachteil: der Key zum verschlüsseln des Tokens muss beim Client liegen (aber das ist ja ein generelles Problem)