Web サービス・セキュリティーは、汎用メカニズムを提供し、セキュリティー・ トークンと単一メッセージ認証のメッセージを関連付けます。 セキュリティー・トークンの特定のタイプは Web サービス・セキュリティーでは 必要とされません。Web サービス・セキュリティーは、拡張可能に設計されており、 さまざまな認証メカニズムに対応する複数のセキュリティー・トークン・フォーマットを サポートしています。例えば、クライアントは ID の証明や特定のビジネス認証の 証明を提供する場合があります。ただし、Web サービス・セキュリティーのセキュリティー・トークンの使用法は、 ユーザー名トークン・プロファイル、X.509 トークン・プロファイル、Security Assertion Markup Language (SAML) トークン・プロファイル、eXtensible rights Markup Language (XrML) プロファイル、Kerberos トークン・プロファイルなどの別々のプロファイルで定義されます。
セキュリティー・トークンは、SOAP ヘッダー内の Simple Object Access Protocol (SOAP) メッセージに組み込まれます。 SOAP ヘッダー内のセキュリティー・トークンは、メッセージの送信側から対象のメッセージ受信側に伝搬されます。 受信側では、WebSphere® Application Server セキュリティー・ハンドラーがセキュリティー・トークンを認証し、実行中のスレッドで呼び出し元の ID をセットアップします。