WS-Security (Web Services Security) este un protocol de comunicații pentru aplicarea securității serviciilor web . 19 aprilie 2004, specificația WS-Security 1.0 a fost lansată de OASIS -Open. 17 februarie 2006, acest consorțiu a lansat versiunea 1.1.
Dezvoltat inițial de IBM , Microsoft , Verisign și Forum Systems, protocolul este acum denumit oficial WSS și este dezvoltat printr-un comitet în Oasis-Open.
Protocolul conține specificații privind modul în care integritatea și confidențialitatea pot fi aplicate mesajelor serviciului web . Protocolul WSS include detalii despre utilizarea SAML și Kerberos și formate de certificat, cum ar fi X.509 .
WS-Security abordează trei probleme principale:
Specificația WS-Security permite multiple formate de semnături, mai mulți algoritmi de criptare și multe domenii de încredere. De asemenea, permite utilizarea diferitelor modele de jetoane de securitate, cum ar fi:
Acestea sunt specificate în documentele de profil asociate.
WS-Security încorporează aceste caracteristici de securitate în antetul mesajului SOAP.
Aceste mecanisme nu sunt suficiente pentru a garanta o soluție completă de securitate: trebuie să fie asociate cu alte extensii (WS- *) și protocoale de nivel înalt. În special pentru autentificare , gestionarea cheilor, federarea identității , negocierea protocolului ... WS-Security este doar o piesă a puzzle-ului.
Următoarele proiecte de specificații sunt asociate cu WS-Security: