WebSphere® Application Server 버전 6 프로그래밍 환경에는 다중 프로토콜 및 채널이 존재할 수 있습니다. 예를 들어 HTTP 전송을 통해 서블릿, JSP(JavaServer pages) 파일, HTML 등의 웹 기반 애플리케이션에 액세스할 수 있습니다. RMI/IIOP(Remote Method Invocation over the Internet Inter-ORB) 프로토콜을 통해 엔터프라이즈 애플리케이션에 액세스할 수 있으며, HTTP를 통한 SOAP(Simple Object Access Protocol), JMS(Java™ Message Service)를 통한 SOAP 또는 RMI/IIOP를 통한 SOAP 프로토콜을 사용하여 웹 서비스 애플리케이션에 액세스할 수 있습니다. 이러한 각 애플리케이션은 서로 다른 비즈니스 요구를 처리합니다. 뿐만 아니라, 웹 서비스는 JavaBean 또는 EJB 파일이 포함된 서블릿으로 구현되는 경우가 많습니다. 따라서 웹 및 EJB 컴포넌트에 사용되는 J2EE(Java 2 Platform, Enterprise Edition) 보안 모델과 웹 서비스 보안 모델을 혼합하여 사용할 수 있습니다. 웹 서비스 보안은 WebSphere Application Server 버전 6의 J2EE 역할 기반 보안과 보안 런타임을 보완하기 위한 것입니다.
다음 그림은 애플리케이션 서버로 인증 정보를 전송할 때 사용되는 여러 가지 보안 프로토콜을 보여줍니다. 웹 서비스의 경우, SSL(Secure Sockets Layer)을 사용하는 HTTP 기본 인증이나 암호화를 사용하는 웹 서비스 보안 사용자 이름 토큰을 사용할 수 있습니다. 다음 그림에서, bob이라는 웹 서비스 보안 ID가 인증되어 SOAP 메시지 요청의 호출자 ID로 설정되면, 호출이 서비스 구현(이 경우, 엔터프라이즈 Bean)에 디스패치되기 전에 J2EE 엔터프라이즈 JavaBean(EJB) 컨테이너가 bob을 사용하여 인증을 수행합니다.

전송 계층 보안을 사용하여 웹 서비스의 보안을 설정할 수 있습니다. 예를 들어, HTTP를 통한 SOAP를 사용할 경우 HTTPS를 사용하여 웹 서비스 보안을 설정할 수 있습니다. 그러나 전송 계층 보안은 지점간 보안만 제공합니다. 특정 시나리오에서는 이 보안 계층만으로 충분할 수 있으나, SOAP 메시지가 대상 엔드포인트에서 이용되기 전에 중개 서버(멀티홉)를 순환해야 할 경우에는 JMS(Java Message Service)를 통한 SOAP를 사용할 수 있습니다. 사용법 시나리오 및 보안 요구사항이 웹 서비스의 보안을 설정하는 방법을 설명합니다. 요구사항은 운영 환경과 비즈니스 요구에 따라 달라집니다. 그러나 웹 서비스 보안은 전송 계층과 관계가 없으므로, HTTP를 통한 SOAP, JMS를 통한 SOAP 또는 RMI/IIOP를 통한 SOAP에도 동일한 웹 서비스 보안 제한조건을 사용할 수 있다는 큰 장점이 있습니다.