http://www.oracle.com/technology/oramag/oracle/05-jan/o15web.html
- WS posługuje się protokołem HTTP, dlatego wszystkie metody zabezpieczenia tego całego protokołu (czyli na poziomie warstwy transportowej) nadal obowiązują (autentykacja bazowa, SSL). Niestety rozwiązania te mimo, że są skuteczne (efektywne) ale niewygodne z uwagi na potrzebę zabezpieczenia samej koperty SOAP (a więc na znacznie niższym poziomie szczegółowości). Wynika to z dwóch przesłanek
- dane zawarte w kopercie przechodzą wiele kroków pośrednich, wynikających z potrzeb integracji rozwiązań i niepożądanym jest aby były zapisane w "czystym" tekście.
- koperty SOAP skaczą po całym Internecie, nie można zagwarantować gdzie się znajdą (przesłanka mniejszej wagi)
- Z tego wynika potrzeba zabezpieczenia kopert SOAP niezależnie od protokołu (zamiast HTTP może być wybrany inny protokół np. SMTP) oraz potrzeba zawarcie w kopercie obok danych również dodatkowych informacji o zabezpieczeniach i adresacie przesyłki
- OASIS wydało w 2004 rekomendację w tym zakresie pt. "WS-Security", wprowadzając mechanizmy zabezpieczeń na trzech poziomach:
- authentication tokens - żetony autentykacji pozwlające na wysłanie w nagłówku komunikatu SOAP pary użytkownik/hasło lub certyfikatu X.509,
- XML encryption - pozwala na szyfrowanie danych całego lub części komunikatu (w przypadku O Appication Server 10g rel. 10.1.3 są to 3DES, AES-128 i AES-256.
- XML Digital Signature - podpis cyfrowy (hash) treści przy pomocy DSA-SHA1, RSA-SHA1/MD5 lub HMAC-SHA1