WS-Security UsernameToken Profile

Dieser Artikel oder Abschnitt ist nicht allgemeinverständlich formuliert. Die Mängel sind unter Diskussion:WS-Security UsernameToken Profile beschrieben. Wenn du diesen Baustein entfernst, begründe dies bitte auf der Artikeldiskussionsseite und ergänze den automatisch erstellten Projektseitenabschnitt Wikipedia:Unverständliche Artikel #WS-Security UsernameToken Profile um {{Erledigt|1=~~~~}}.

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

WS-Security UsernameToken Profile ist ein Standard aus dem Kontext der WS-*-Spezifikationen. Er beschreibt ein Authentifizierungsverfahren bzw. ein Profil zur Erstellung eines Tokens nach WS-Security.

Am 15. März 2004 wurde der OASIS-Standard in seiner Version 1.0 veröffentlicht. Die Version 1.1 folgte am 01.02.2006 und ist die derzeit aktuellste.

Im Wesentlichen wird dort beschrieben, wie ein Web-Service-Consumer anhand des Benutzernamens ein "Security-Token" von einem "Security Token Service" erhält. Das Passwort kann im Klartext (Default) oder verschlüsselt übertragen werden.

Beispiel-Auszug aus dem SOAP-Header:

<wsse:Security>
    <wsse:UsernameToken wsu:Id="Example-1">
        <wsse:Username> ... </wsse:Username>
        <wsse:Password Type="..."> ... </wsse:Password>
        <wsse:Nonce EncodingType="..."> ... </wsse:Nonce>
        <wsu:Created> ... </wsu:Created>
    </wsse:UsernameToken> 
</wsse:Security>

Die Spezifikation ist gut lesbar, Details sind dort zu entnehmen.

In der WS-Security Spezifikation werden weitere/alternative Profile beschrieben:

• WS-Security

Web Services Security UsernameToken Profile 1.1