我们现在做的系统里面大量使用了Web Services,采用的是WinForm调用Web Services的方式。但是这样存在一个问题是，我们没有对调用Web Services进行安全认证。也就是只要知道Web Services的地址就可以调用它。而在添加Web 引用的时候，引用地址自动写在App.config里面了。用户只要打开App.Config就可以看到地址，从可以调用相应的操作。

问题：我怎样对调用者进行认证，没有权限的不能进行调用。

另外一种解决方法就是不暴露Web Services的地址。但是程序自动把地址写到了app.Config里面了。那我怎样对其隐藏呢？如果对app.config进行加密，加密后，里面的地址还能自动识别吗？