WS-Security (Web Services Security) es un protocolo de comunicaciones para aplicar seguridad a los servicios web . La19 de abril de 2004, la especificación WS-Security 1.0 fue lanzada por OASIS -Open. La17 de febrero de 2006, este consorcio lanzó la versión 1.1.
Desarrollado originalmente por IBM , Microsoft , Verisign y Forum Systems, el protocolo ahora se llama oficialmente WSS y se desarrolla a través de un comité en Oasis-Open.
El protocolo contiene especificaciones sobre cómo se puede aplicar la integridad y la confidencialidad a los mensajes del servicio web . El protocolo WSS incluye detalles sobre el uso de SAML y Kerberos , y formatos de certificado como X.509 .
WS-Security aborda tres problemas principales:
La especificación WS-Security permite múltiples formatos de firma, múltiples algoritmos de cifrado y muchos dominios confiables. También permite el uso de diferentes modelos de tokens de seguridad, como:
Estos se especifican en los documentos de perfil asociados.
WS-Security incorpora estas características de seguridad dentro del encabezado del mensaje SOAP.
Estos mecanismos no son suficientes para garantizar una solución de seguridad completa: deben estar asociados a otras extensiones (WS- *) y protocolos de alto nivel. Especialmente para autenticación , administración de claves, federación de identidades , negociación de protocolos ... WS-Security es solo una pieza del rompecabezas.
Las siguientes especificaciones preliminares están asociadas con WS-Security: