Я нашел похожих сообщений , но не совсем ответил на мой актуальный вопрос.
Мы будем вызывать «удаленный» веб-сервис, вызывающий абонент должен аутентифицировать себя на веб-сервисе, и мы также требуем, чтобы веб-сервис аутентифицировал себя
На уровне приложения мы будем использовать WS-Безопасность для подписи сообщения и аутентификации
Когда веб-сервис использует сертификат сервера TLS, комплексная защита уже установлена (актуальный вопрос: является ли связь на транспортном уровне уже зашифрованной - или это толькоможет ли быть случай, когда клиент является браузером?) или мы должны на уровне приложения зашифровать полезную нагрузку для обеспечения сквозной безопасности?