Web 技術社群群組 W3C 及 OASIS 建立若干標準,以定義適用於 Web 服務的原則。
(01) <wsp:Policy
xmlns:sp=http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702
xmlns:wsp=http://www.w3.org/ns/ws-policy
xmlns:wsu=http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd
wsu:Id="SecureMessages"> <!-- policy expression -->
(02) <wsp:ExactlyOne>
(03) <wsp:All> <!-- policy alternative #1 -->
(04) <sp:SignedParts>; <!-- policy assertion -->
(05) <sp:Body> <!-- policy assertion parameter -->
(06) </sp:SignedParts>
(07) </wsp:All>
(08) <wsp:All> <!-- policy alternative #2 -->
(09) <sp:EncryptedParts> <!-- policy assertion -->
(10) <sp:Body/> <!-- policy assertion parameter -->
(11) </sp:EncryptedParts>
(12) </wsp:All>
(13) </wsp:ExactlyOne>
(14) </wsp:Policy>
行 (03-07) 代表用於簽署訊息內文的某個原則替代方案。
行 (08-12) 代表用於加密訊息內文的第二個原則替代方案。
行 (02-13) 顯示 ExactlyOne 原則運算子。原則運算子會將原則主張分組成原則替代方案。有效的原則解譯為 Web 服務的呼叫,可以是簽署或加密訊息內文,但不能兩者並行。
<wsp:PolicyAttachment>
<wsp:AppliesTo>
</wsp:AppliesTo>
<wsp:Policy>
</wsp:Policy>
</wsp:PolicyAttachment>
WSRR 會顯示 REST 介面,以在 SLA 模型中獲得適當的原則附件。套用原則之「消費者-提供者」配對的相關資訊,會以 WS-PolicyAttachment 格式傳遞至 ESB。語法定義在「WS-PolicyAttachment:訊息內容過濾器」規格中。
可以僅對提供者服務、對特定的消費者-提供者配對,或對「匿名」消費者指定原則。「匿名」消費者提供一種定義預設原則的方法,僅在沒有套用其他原則時套用至消費者。
在圖 3 中,套用原則的網域特定原則主旨(提供者)包含在 <wsp:AppliesTo> 區段中。套用原則的消費者-環境定義過濾器會遵循它(消費者)。然後,在 <wsp:Policy> 區段中,會宣告或參照原則。