WS-Security UsernameToken Profile ist ein Standard aus dem Kontext der WS-*-Spezifikationen. Er beschreibt ein Authentifizierungsverfahren bzw. ein Profil zur Erstellung eines Tokens nach WS-Security.
Am 15. März 2004 wurde der OASIS-Standard in seiner Version 1.0 veröffentlicht. Die Version 1.1 folgte am 01.02.2006 und ist die derzeit aktuellste.
Im Wesentlichen wird dort beschrieben, wie ein Web-Service-Consumer anhand des Benutzernamens ein "Security-Token" von einem "Security Token Service" erhält. Das Passwort kann im Klartext (Default) oder verschlüsselt übertragen werden.
Beispiel-Auszug aus dem SOAP-Header:
<wsse:Security>
<wsse:UsernameToken wsu:Id="Example-1">
<wsse:Username> ... </wsse:Username>
<wsse:Password Type="..."> ... </wsse:Password>
<wsse:Nonce EncodingType="..."> ... </wsse:Nonce>
<wsu:Created> ... </wsu:Created>
</wsse:UsernameToken>
</wsse:Security>
Die Spezifikation ist gut lesbar, Details sind dort zu entnehmen.
Zugehörige Spezifikationen
In der WS-Security Spezifikation werden weitere/alternative Profile beschrieben: