尽管很多团队把安全留到最后考虑，但对于确保Web应用的安全和终端用户的安全来说这是很重要的。安全的Web应用意味着使用安全的Web服务。

　　根据Gartner副总裁Ross Altman，Web服务安全最重要的核心关注点包括认证和授权、安全口令和REST。认证和授权是Web服务安全的两个基本构建模块。例如，如果一个消息请求来自于源，你的系统需要搞清楚。然后，你必须确保这个源思经过授权，可以发出请求的（即便它是已经授权的）。

　　安全的Web服务最广泛的认可惯例之一是安全口令系统。OASIS Web标准组织在调整和改善安全口令系统方面取得了很大的成果。其安全WS-*标准包括WS-Security (WSS)、WS-Trust、WS-SecureConversation和SAML（安全断言标记语言）。通过为安全口令提出一套SOAP扩展标准，为发布、重写和验证这些安全口令提供方法，这些标准为我们目前对于Web安全口令的理解铺了路，提供了服务之间的安全口令的交互性。

　　另一个重要的标准组W3C，在确保Web服务安全上采取不同的方法。尽管口令化是OASIS的重要标志，W3C方法更多地关注加密和XML安全。W3C内的各个工作组已经确立了数字内容加密、密钥管理、Web服务签名的指导方针。今年八月份，他们在用户界面指导方针的工作告终，该指导方针描述了Web服务安全可接受的最佳案例处理。用户界面指导方针旨在确保用户可以在最丰富和最安全的情况下制定可信的决策。

　　云端Web服务安全

　　云计算和Web服务关系密切。根据Gartner研究人员John Pescatore所述，“大家应该拓宽SOA治理的想法，盒状放射到云端。”他探讨了云安全和XML安全设备之间的相似之处，也就是把XML安全从基础设施运营中分离出来的公认之路。据Pescatore所述，比较可行的做法就是以一种加密的状态把所有数据放入云端，在其离开云端之后在进行解密。

　　然而，这些都在确保云自身的安全和易用性。主要的云平台提供者最近在其用户在认证和访问管理（IAM）出现困难之后，开始重新考虑Web服务安全。Amazon Web服务引入IAM工具，包括脚本和API，旨在更易于安全管理员在一种更加颗粒化的层次来管理和限制访问。