在 WebSphere® Application Server V6 编程环境中可以存在多种协议和通道。例如,可以通过 HTTP 传输访问基于 Web 的应用程序。例如,servlet、JavaServer Pages(JSP)文件、HTML 等等。可以通过“基于因特网 ORB 间协议的远程方法调用”(RMI/IIOP)协议来访问企业应用程序,并可以通过基于 HTTP 的简单对象访问协议(SOAP)、基于 Java™ 消息服务(JMS)的 SOAP 或基于 RMI/IIOP 协议的 SOAP 来访问 Web Service 应用程序。每个这样的应用程序都为不同业务需要提供服务。更重要的是 Web Service 通常作为具有 JavaBean 或 EJB 文件的 servlet 实现。因此,可以将 Web Service 安全性模型与 Web 和 EJB 组件的 Java 2 Platform, Enterprise Edition(J2EE)安全性模型进行搭配。这样做的目的是让 Web Service 安全性 支持基于 J2EE 角色的安全性和 WebSphere Application Server V6 安全性运行时。
下图会显示用于将认证信息发送到应用程序服务器的不同安全协议。对于 Web Service,您可以使用具有安全套接字层(SSL)的 HTTP 基本认证或具有加密的 Web Service 安全性用户名令牌。在下图中,当认证来自 Web Service 安全性的标识 bob 并将它设置为 SOAP 消息请求的调用者标识时,J2EE Enterprise JavaBean(EJB)容器会在将调用分派到服务实现(在此情况下是企业 bean)前使用 bob 来执行授权。
您可以使用传输层安全性来保护 Web Service。例如,当正在使用 SOAP over HTTP 时,HTTP 可以用于保护 Web Service。但是,传输层安全性仅会提供点到点安全性。此安全性层对于某些方案可能是足够的。然而,由于 SOAP 消息在被目标端点使用之前必须经过中间服务器(多中继段),因此,可以使用基于 Java 消息服务(JMS)的 SOAP。这些使用方案和安全要求说明如何保护 Web Service。这些要求取决于操作环境和业务需要。但是,使用 Web Service 安全性的一个主要优点是它独立于传输层;同一 Web Service 安全性约束可以用于 SOAP over HTTP、SOAP over JMS 或 SOAP over RMI/IIOP。