安全令牌斷言聲明并可用于斷言身份驗證秘密或密鑰和安全標(biāo)識之間的綁定,。

聲明是由實體所做的有關(guān)實體（例如名稱、標(biāo)識,、組,、密鑰或特權(quán)）的聲明,。作出聲明的實體稱為“聲明頒發(fā)者”；對其作出聲明的有關(guān)實體稱為“聲明主題”,。

聲明頒發(fā)者可以通過使用其密鑰對安全令牌進行簽名或加密來保證或認(rèn)可安全令牌中的聲明,。這會在安全令牌中啟用聲明的身份驗證。

消息簽名用于驗證消息來源和完整性,。消息簽名還可供消息創(chuàng)作者用于證實他們知道密鑰（通常來自第三方,，用于確認(rèn)安全令牌中的聲明），因此會將消息創(chuàng)作者的標(biāo)識（以及由安全令牌表示的任何其他聲明）綁定到所創(chuàng)建的消息,。

ws-security 定義了多種類型的安全令牌,，并提供了一個可擴展模型，答應(yīng)單獨定義其他的安全令牌類型,。每個令牌類型定義均包含令牌的 xml 序列化,。這答應(yīng)直接向消息添加令牌表示形式。

下面是 ws-security 中定義的一些安全令牌類型：

• 用戶名令牌,。
  
• x.509 證書令牌,。
  
• kerberos 令牌。
  
• saml 令牌,。
  

已定義四種令牌使用方式,，附加到給定消息的令牌只能屬于其中的一個類別：

• signedsupporting
  
• signedendorsing
  
• signedencrypted
  
• encryptedendorsing
  

在 .net framework 3.0 中，客戶端消息只能包含任何給定類型的一個令牌,，但是可以包含不同類型的令牌,。

在 .net framework 3.5 中，客戶端消息可以包含給定類型的多個令牌,，也可以包含不同類型的令牌,。

通過此功能可以實現(xiàn)多個方案，如下所述：

• 增量聲明發(fā)送,。對服務(wù)執(zhí)行的所有操作可能都要求一組聲明存在,，但是某些操作可能需要其他聲明?？蛻舳瞬粚γ宽棽僮魇褂脝为氼C發(fā)的令牌,，而是獲得一個具有初始聲明集的已頒發(fā)令牌，并使用另一個已頒發(fā)的令牌（該令牌具有要調(diào)用的操作所需的其余聲明）,。
  
• 多因素身份驗證,。在客戶端必須先收集多個頒發(fā)者頒發(fā)的令牌或具有不同聲明集的令牌，然后才能執(zhí)行操作時執(zhí)行,。wcf 將頒發(fā)的令牌視為一個令牌類型,，因此，在這種情況下會要求消息中能夠包含兩個已頒發(fā)的支持令牌,。
  

請注重,，不能以這種方式配置服務(wù)：一個服務(wù)只能包含一個支持令牌。

有關(guān)更多信息,，請參見 如何：使用相同類型的多個安全令牌,。

安全令牌會在傳入消息中進行反序列化并進行身份驗證,。身份驗證過程會產(chǎn)生一組授權(quán)策略對象。每個對象均表示安全令牌數(shù)據(jù)的一部分,。在授權(quán)階段將使用這些數(shù)據(jù),。

授權(quán)策略創(chuàng)建給定的安全令牌表示的一組聲明。然后,，會將此聲明集提供給 serviceauthorizationmanager 和 authorizationcontext 屬性內(nèi)的邏輯以便作出授權(quán)決策,。

除了聲明外，wcf 還會創(chuàng)建 iidentity 接口的實現(xiàn),，用于表示現(xiàn)有基礎(chǔ)結(jié)構(gòu)（使用 .net framework 安全模型創(chuàng)建）的調(diào)用方,。此 iidentity 實例表示調(diào)用方的 windows 標(biāo)識（假如該安全令牌映射到 windows 帳戶）或包含調(diào)用方名稱的主標(biāo)識。這些標(biāo)識還可以使用 servicesecuritycontext 進行訪問,。（有關(guān)更多信息,，請參見 如何：檢查安全上下文。）通過使用以下方法之一,，可以自定義在 wcf 中創(chuàng)建標(biāo)識的方式：