웹 서비스 보안은 단일 메시지 인증을 위해 보안 토큰을 메시지와 연관시키는 범용 메커니즘을 제공합니다. 웹 서비스 보안에서 특정한 보안 토큰 유형이 요구되지는 않습니다. 웹 서비스 보안은 확장이 가능하고 여러 보안 토큰 형식을 지원하도록 설계되어 다양한 인증 메커니즘을 수용할 수 있습니다. 예를 들어 클라이언트는ID 증명과 특정한 비즈니스 인증 증명을 제공할 수 있습니다. 그러나 웹 서비스 보안을 위한 보안 토큰의 사용법은 X.509 토큰 프로파일, SAML(Security Assertion Markup Language) 토큰 프로파일, XrML(eXtensible rights Markup Language) 토큰 프로파일, Kerberos 토큰 프로파일과 같은 개별 프로파일로 정의되어 있습니다.
보안 토큰은 SOAP(Simple Object Access Protocol) 헤더 내의 SOAP 메시지에 임베드됩니다. SOAP 헤더의 보안 토큰은 메시지 송신자에게서 의도된 메시지 수신자에게로 전달됩니다. 수신측에서는 WebSphere® Application Server 보안 핸들러가 보안 토큰을 인증하고 실행 중인 스레드에 호출자 ID를 설정합니다.