尽管很多团队将安全放在最后考虑，但是其对于确保Web应用安全和终端用户（以及其数据）的安全十分重要。创建安全的Web应用意味着使用安全的Web服务。研发团队应该知道工作团队代表Web服务安全标准，同样的在跨越不同公司的防火墙与不同的组织进行工作的时候，格式将协助确保兼容性。

　　OASIS和W3C在Web服务和SOA安全标准和协议方面是两个最活跃的主要组织。这两个组织对于Web服务安全采取类似的方法，但是在表达概念的方法上有所不同。我们看到W3C的方法主要关注用户信任的决定和直接的XML安全标准；相反，OASIS标准则更注重诸如WS-*标准的抽象概念。本条技巧关注W3C方法以及由OASIS方面提供的全面信息，在未来将要完成的相关内容。

　　W3C标准

　　W3C安全活动划分为两个分支，Web安全内容工作组和XML安全工作组。XML和Web安 全组对于Web资源、数字内容加密和密钥管理的表达符号相对来讲已经确立了指导作用。

　　W3C的Web安全内容工作组关注用户体验和终端用户信任决策。今年八月份，他们专注于用户界面指导方针。这些指导方针介绍规则和最佳实践，旨在确保终端用户在最安全和最正式的条件下，进行在线信任决策的制定。

　　用户界面指导方针描述了可接受的和最佳案例规程，旨在通过对Web用户代理的关注处理Web安全。该指导方针定义“Web用户代理”为用户“检索和显示任何软件的Web内容”。Web用户代理可以说成符合基本水平（意味着做任何事情的时候指导方针必须已经完成）或者Web服务可以说成是符合高级水平（意思是他们也实现指导方针应该完成的内容）。

　　XML安全工作组有两个明显的不同之处，但类似的工作组已经致力于XML安全有一段时间了。他们继续W3C的工作，针对XML的签名和加密。自九月起，该工作组已经发布了五项草案，包括XML签名2.0、标准XML2.0和XML签名最佳实践。

　　XML签名2.0指定了处理规则和XML数字签名语法。该标准试图改进整合性服务以及认证服务。标准XML2.0主要是重新修订以前的版本，主要解决性能、硬件实施和其他问题。XML签名最佳实践提供最佳实践主要围绕XML签名的使用。特别地，文档主要涉及安全改进和减少攻击，以及XML签名在实践中的使用情况。