Token de segurança
O Web Services Security fornece um mecanismo de finalidade geral para associar tokens de segurança a mensagens para autenticação de mensagem única. Um token de segurança representa um conjunto de alegações feitas por um cliente que podem incluir um nome, senha, identidade, chave, certificado, grupo, privilégio, e assim por diante.
Um tipo específico de token de segurança não é exibido pelo Web Services Security. O Web Services Security foi projetado para ser extensível e suportar múltiplos formatos de token de segurança para acomodar uma variedade de mecanismos de autenticação. Por exemplo, um cliente pode fornecer prova de identidade e prova de uma certificação de negócios específica. Entretanto, o uso do token de segurança para Web Services Security é definido em perfis separados, como o perfil de token Nome de Usuário, o perfil de token X.509, o perfil de token Security Assertion Markup Language (SAML), o perfil de token eXtensible rights Markup Language (XrML) e o perfil de token do Kerberos etc.
Um token de segurança é integrado na mensagem SOAP dentro do cabeçalho SOAP. O token de segurança dentro do cabeçalho SOAP é propagado do emissor da mensagem para o receptor pretendido da mensagem. No lado do recebimento, o manipulador de Serviços da Web do WebSphere Application Server autentica o token de segurança e configura a identidade do responsável pela chamada no encadeamento em execução.
- O cliente pode enviar vários tokens para servidores de recebimento de dados.
- O receptor pode determinar qual token de segurança será utilizado para autorização com base no tipo ou parte assinada para tokens X.509.
- É possível utilizar o token customizado ou de chave derivada para assinatura digital ou criptografia.