M234Как организовать авторизацию на серсвисе, что бы только те у кого есть логин и пароль могли использовать сервис?
Это аутентификация. А об авторизации нужно думать, когда будет спланирована аутентификация: доменные групы, роли в БД (membership, simple membership, custom role provider), роли в файле (xml role provider), и т.д..

M234Можно конечно заморочится с токенами
Не делай так никогда. На крайний случай можно токен в хедере передавать.

M234Но это как-то криво. Хотелось бы знать стандартный путь. Best practices так сказать.
Спасибо.
Ну и в заключении аутентификации и авторизации: покрыть канал SSL, если используешь http транспорт. Его и используй.

P.S. Кстати, рекомендую глянуть на новомодный REST подход.

http://codearticles.ru/articles/2319
http://codearticles.ru/articles/2320