标签: web-services security
我在一个客户端工作,他们开发了一个Web服务,其中包含服务的WSDL定义中的安全上下文详细信息(如用户凭据或SAML令牌作为替代)。
在SOAP消息中嵌入授权凭据是否正常?我希望身份验证详细信息在消息本身之外处理,不应在消息内部传递。
您是否可以向我指出描述相关最佳做法的文档?