消息安全性概述

在消息安全性中，安全性信息被插入到消息中以使其通过网络层传输，并和消息一起到达消息目的地。消息安全性与传输层安全性不同（在《The J2EE 1.4 Tutorial》的“Security”一章中有说明），这是因为消息安全性可用于将消息保护从消息传输中分离开，从而使消息在传输后仍保持被保护状态。

Web 服务安全性：SOAP 消息安全性 (WS-Security) 是可交互使用的 Web 服务安全性的国际标准，是在 OASIS 中由所有 Web 服务技术的主要提供商（包括 Sun Microsystems）协作开发的。WS-Security 是一种消息安全性机制，它使用 XML 加密和 XML 数字签名来确保 SOAP 上发送的 Web 服务消息的安全。WS-Security 规范定义了多种安全令牌（包括 X.509 证书、SAML 断言和用户名/密码令牌）的用途，以验证和加密 SOAP Web 服务消息。

可以在 http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message -security-1.0.pdf 中查看 WS-Security 规范。