WS-SECURITY
Web Services Security. Le standard OASIS qui sécurise le message SOAP — signature, chiffrement, token — au niveau applicatif, indépendamment de TLS.
Définition
WS-Security (officiellement Web Services Security:
SOAP Message Security) est un OASIS Standard. La version 1.1 (2006)
est aujourd'hui la version implémentée, après la 1.0 (2004). Sa
fonction : introduire dans l'en-tête SOAP un sous-élément
<wsse:Security> qui porte :
- Une ou plusieurs SecurityTokenReference, qui pointent ou intègrent un certificat X.509, un Username Token, un SAML Assertion, un Kerberos Token.
- Une ou plusieurs signatures XML Signature (XML-DSig, W3C) couvrant des éléments précis du SOAP (Body, en-têtes ebMS, timestamp).
- Une ou plusieurs chiffrements XML Encryption (XML-Enc, W3C) sur des éléments précis.
- Un Timestamp qui borne la validité temporelle du message (Created / Expires).
WS-Security s'inscrit dans la famille étendue WS-* (WS-Trust pour l'émission de tokens, WS-SecureConversation pour les sessions chiffrées, WS-Policy pour exprimer les exigences de sécurité, WS-PolicyAttachment pour les rattacher au WSDL).
Origine
WS-Security est initialement publié par IBM, Microsoft et VeriSign en avril 2002. La spécification est transférée à OASIS qui forme le WSS Technical Committee. Version 1.0 publiée en 2004, version 1.1 en 2006. Adoption massive dans le SOA des années 2000-2010, puis dans le B2B EDI via ebMS3 (2007) et AS4 (2013). En 2026, WS-Security reste utilisé principalement par AS4 / PEPPOL et par certains web services bancaires et e-government.
Exemple en contexte
En-tête SOAP AS4 simplifié :