WCF: serviço de autenticação ou segurança baseada em token?

Há umCRM dinâmico instância em um servidor ("no local"). Será usado poralguns sites que são executados em máquinas distantes (outro domínio, outro Active Directory). A comunicação entre esses sites e a instância do CRM é feita por meio deProxy de CRM, um serviço WCF que fica próximo a ele (próximo ao CRM), lida com solicitações, consultas ao CRM etc.

Esse serviço WCF está enfrentando a Internet. Embora os canais de comunicação seguros não sejam necessários, a autenticação é. Não podemos permitir que clientes aleatórios usem os serviços fornecidos pelo proxy do CRM.

Então, Serviço de Autenticação (cookies?) / Passagem de token codificado manualmente (como um parâmetro para cada operação de serviço) /esta solução - em stackoverflow.

Agradeço antecipadamente!

PS: tokens codificados manualmente seriam "sensíveis ao tempo" e "hashed" algumas vezes com algumas chaves secretas. Man-in-the-middle pode não ser um problema tão grande, pois um token pode ser invalidado após uma solicitação.