如何实现由状态WebService，以及身份认证如何实现？

以前做过一点WebService但是都是一些简单的操作，都是没有状态的，有点像stateless session bean但是。现在想要Webservice是有状态的，如记录访问者信息，进行连续的业务方法调用等等。并且如果暴露的Webservice有重要操作，只有经过验证的用户才能调用，如何实现？
大家有什么看法，谈一谈。