对于web应用（包括web站点及web服务）的安全，我们首先想到的和见到的是，让客户提供凭据（最常见的是用户名和密码），然后服务端对客户提供的凭据进行验证，验证通过后，在具体的方法调用或页面请求时，根据验证通过的客户身份进行授权检查，授权通过，则执行客户的请求；反之则拒绝客户的请求。这就是一般验证及授权的思路。   如果这样还不能安全要求，那只好再启用传输层加密，即SSL了。实际上在WC