ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

WS-SECURITY

Web Services Security. Le standard OASIS qui sécurise le message SOAP — signature, chiffrement, token — au niveau applicatif, indépendamment de TLS.

Définition

WS-Security (officiellement Web Services Security: SOAP Message Security) est un OASIS Standard. La version 1.1 (2006) est aujourd'hui la version implémentée, après la 1.0 (2004). Sa fonction : introduire dans l'en-tête SOAP un sous-élément <wsse:Security> qui porte :

  • Une ou plusieurs SecurityTokenReference, qui pointent ou intègrent un certificat X.509, un Username Token, un SAML Assertion, un Kerberos Token.
  • Une ou plusieurs signatures XML Signature (XML-DSig, W3C) couvrant des éléments précis du SOAP (Body, en-têtes ebMS, timestamp).
  • Une ou plusieurs chiffrements XML Encryption (XML-Enc, W3C) sur des éléments précis.
  • Un Timestamp qui borne la validité temporelle du message (Created / Expires).

WS-Security s'inscrit dans la famille étendue WS-* (WS-Trust pour l'émission de tokens, WS-SecureConversation pour les sessions chiffrées, WS-Policy pour exprimer les exigences de sécurité, WS-PolicyAttachment pour les rattacher au WSDL).

Origine

WS-Security est initialement publié par IBM, Microsoft et VeriSign en avril 2002. La spécification est transférée à OASIS qui forme le WSS Technical Committee. Version 1.0 publiée en 2004, version 1.1 en 2006. Adoption massive dans le SOA des années 2000-2010, puis dans le B2B EDI via ebMS3 (2007) et AS4 (2013). En 2026, WS-Security reste utilisé principalement par AS4 / PEPPOL et par certains web services bancaires et e-government.

Exemple en contexte

En-tête SOAP AS4 simplifié :

Termes liés

  • AS4 — le principal consommateur en 2026.
  • ebMS3 — le standard parent d'AS4.
  • OASIS — l'éditeur.
  • XAdES — extension signature avancée.

Dernière mise à jour: 14 mai 2026