Sicherheitstoken
Ein Sicherheitstoken enthält eine Reihe von Claim-Informationen, die ein Client festlegt. Beispiele für derartige Informationen sind Name, Kennwort, Identität, Schlüssel, Zertifikat, Gruppe, Berechtigung usw.
Für die Authentifizierung von Einzelnachrichten stellt Web Services Security ein vielseitig einsetzbares Verfahren bereit, mit dem Sicherheitstoken Nachrichten zugeordnet werden können. Web Services Security erfordert keinen speziellen Typ von Sicherheitstoken. Web Services Security ist auf Erweiterbarkeit ausgelegt und unterstützt mehrere Formate von Sicherheitstoken, um der Vielzahl von Authentifizierungsverfahren gerecht zu werden. Beispielsweise kann ein Client einen Identitätsnachweis erbringen und damit unter Beweis stellen, dass er eine bestimmte Geschäftszertifizierung besitzt.
Ein Sicherheitstoken wird in den SOAP-Header der SOAP-Nachricht eingebettet. Das im SOAP-Header enthaltene Sicherheitstoken wird vom Nachrichtensender an den geplanten Nachrichtenempfänger weitergegeben. Auf der Empfängerseite authentifiziert der Sicherheitshandler von WebSphere Application Server das Sicherheitstoken und definiert die Identität des Callers im Ausführungsthread.