Ciao hai fatto benissimo a spostare il discorso, se ti ricordi mettici un link verso questo post nel vecchio, grazie.
Io ti consiglio di lasciare le credenziali di accesso al database nel web service (credenziali limitate alle sole operazioni che il web service deve fare, non gli dare un account di SA per intenderci).
Mentre implementerei un sistema di autenticazione del client verso il web services.
Esistono vari sistemi per implementarla più o meno standard.
Io ti consiglio di fare un metodo di autenticazione nel web services che accetta username, password, ip e una volta autorizzati rilascia un token (é un oggetto con alcune proprietà, dove la più importante é una stringa univoca (che individui la sessione autorizzata): una guid va benissimo, inoltre non ti dimenticare l'indirizzo ip del client).
Tutti gli altri metodi del web services invece richiederanno altre ai paramentri che ti servono, anche il token.
In questi metodi il web services controllera se il token inviato é valido e l'indirizzo ip é lo stesso del client che lo aveva generato.
Lato web service devi avere una tabella di database o altro in cui tu possa memorizzare le sessioni autenticate (codice univoco, ip, data creazione, data scadenza, ecc)
Come ti dicevo nel vecchio post devi utilizzare il protocollo https per la comunicazione tra client e server.
Fammi sapere se è tutto chiaro, ciao