Manche schießen auch gerne auf schnieke AppServer, weil sie fürchten, mit Browsern arbeiten zu müssen.
tommies WebService ist in bundies Fall ein DataAbstract Service und sein Client ist eine piepnormale Echse, die dank dem DA Service einfach ohne jegliche Kenntnis von der genauen Datenquelle auskommt. Deshalb findet die Sicherheitsprüfung da statt wo man noch die Kontrolle hat: auf einem Server.
@bundy
Mit DA hast du zwangsläufig auch ein komplettes RO SDK laufen, vllt wäre es für dich einfacher noch einen RO Service zwischen DA und deinem Client zu klemmen. Wenn du den auch noch auf WSDL/SOAP statt ROSDL umstellst würdest du dich für künftige Wendungen auf der sicheren (standardisierten) Seite befinden.

Das viele Gerede über RO/DA hat mich jetzt aber ganz schön hibbelig gemacht. Ich werde es wohl am WE mal wieder rauskramen.