セキュリティー・トークンは、 クライアントが行なった一連の要求を表し、 名前、パスワード、ID、鍵、証明書、グループ、特権などが含まれます。
Web サービス・セキュリティーは、 単一のメッセージを認証するためにセキュリティー・トークンとメッセージを関連付ける汎用メカニズムを提供します。 特定のタイプのセキュリティー・トークンは、Web サービス・セキュリティーでは必要とされません。 Web サービス・セキュリティーは、拡張できるように設計されており、 さまざまな認証メカニズムに対応する複数のセキュリティー・トークン・フォーマットをサポートします。 例えば、クライアントは ID の証明と特定のビジネス認証の証明を提供します。
セキュリティー・トークンは、SOAP ヘッダー内の SOAP メッセージに組み込まれます。 SOAP ヘッダー内のセキュリティー・トークンは、 メッセージの送信側から目的のメッセージの受信側に伝搬します。 WebSphere Application Server セキュリティー・ハンドラーは、受信側でセキュリティー・トークンを認証し、 実行中のスレッド上で呼び出し元の ID をセットアップします。