Web Service 安全性提供通用机制来将安全性令牌与消息关联起来,以便进行单个消息认证。Web Service 安全性不需要特定类型的安全性令牌。Web Service 安全性被设计为可扩展的并支持多种安全性令牌格式以适应多种认证机制。例如,客户机可以提供标识的证明和特定业务证书的证明。但是,在独立的概要文件中定义 Web Service 安全性的安全性令牌使用情况,这些概要文件是:用户名令牌概要文件、X.509 令牌概要文件、安全声明标记语言(SAML)令牌概要文件、可扩展权限标记语言(XrML)令牌概要文件、Kerberos 令牌概要文件等等。
安全性令牌嵌入在 SOAP 头的简单对象访问协议(SOAP)消息中。SOAP 头中的安全性令牌从消息发送方传播到期望的消息接收方。在接收端,WebSphere® Application Server 安全性处理程序对该安全性令牌进行认证并在运行线程中设置调用者标识。