Das WS-Security UsernameToken Profile ist ein Standard des World Wide Web Consortium W3C im Kontext der WS-*-Spezifikationen. Dieser Webservice (WS) beschreibt ein Authentifizierungsverfahren oder Profil zur Erstellung eines Tokens mit Zugriff auf die Schnittstelle nach WS-Security. Es ist ein Kommunikationsprotokoll, um die Sicherheitsaspekte bei Webservices zu berücksichtigen.
Am 15. März 2004 wurde der Standard der Organization for the Advancement of Structured Information Standards (OASIS) in seiner Version 1.0 veröffentlicht. Die aktuelle Version 1.1 folgte am 1. Februar 2006.
Im Wesentlichen wird beschrieben, wie ein Web-Service-Consumer anhand des Benutzernamens ein “Security-Token” von einem “Security Token Service” erhält. Das Passwort kann im Klartext oder verschlüsselt übertragen werden. Ein Security-Context stellt ein gemeinsames Geheimnis zu Verfügung, mit dem Mitteilungen signiert und verschlüsselt werden, vergleiche auch mit Transport Layer Security (SSL).
Ein Beispiel mit dem Netzwerkprotokoll zum SOAP-„Header Simple Object Access Protocol“ sieht wie folgt aus:
<wsse:Security>
<wsse:UsernameToken wsu:Id="Example-1">
<wsse:Username>Zoe_test</wsse:Username>
<wsse:Password Type="http://oasis-open.org">love$Dogs </wsse:Password>
<wsse:Nonce EncodingType="UTF8">gXsJgA6vV </wsse:Nonce>
<wsu:Created>2003-07-16T01:24:32Z</wsu:Created>
</wsse:UsernameToken>
</wsse:Security>
Die Details der Spezifikation sind dort zu entnehmen.
Spezifikationen
In der WS-Security Spezifikation werden weitere und alternative Profile beschrieben: