認証の目的は、ユーザーを一意的に識別するために必要なすべての情報を集めることです。 この情報には通常、識別のためのユーザー名、およびその ID を検証するための パスワードが含まれています。
Web サービスを保護するには、スタンドアロン・セキュリティー・トークン (SAST) を追加して Web サービスの認証性を確保します。Web サービス・セキュリティーと、WebSphere® Application Server Toolkit を使用した SAST の実装方法について詳しくは、 スタンドアロン・セキュリティー・トークン・ウィザードの操作 (下の関連リンク・ セクションに参照先があります) を参照してください。このウィザードにより、必要なステップをたどって認証のプライマリー・フォームの 1 つを実行できます。これには、ユーザー・トークンを Web サービス・サーバーに送信することも含まれます。サーバーは、ユーザー名とパスワードをトークンから抽出して、ユーザー名とパスワードの組み合わせが有効であるかどうかを検査し、有効な場合にのみメッセージを受け入れて処理します。 この形式の識別表明は、基本認証と呼ばれます。
エンド・ユーザーは、認証をしなくても、メッセージを送信して、それをサーバーに受け入れさせ、処理させることができます。 非認証 Web サービスに対する重大なセキュリティーの脅威は、スプーフィングと呼ばれています。Web サービスが認証なしの場合、 アタッカーは変更された SOAP メッセージをサービス・プロバイダーに送信することができます。 これらのメッセージを使用して、機密情報にアクセスしたり、 サーバーにコマンドを発行したりすることが可能です (バンキング・システムの場合、口座から預金を引き出すことなどなどが可能です)。