Vinze - Я тоже столкнулся с этой проблемой с rampart, хотя я не пытался раскрыть веб-службу, просто позвонил. (См. этот вопрос ).
Я обнаружил, что все средства обеспечения безопасности веб-служб сбивают с толку, и это не помогает тому, что вал плохо документирован (нет хороших руководств, как вы упоминали).
Возможно, вам удалось записать API WSS4J вместо использования rampart. (Кстати, я думаю, что вал построен на основе WSS4J).
Что касается того, что предоставить разработчику клиента, для него может быть проще всего, если вы поместите информацию о политике в wsdl вместо отдельного policy.xml. Но вам, вероятно, следует запланировать предоставление ему / ей документации о том, как обеспечивается ваша служба, чтобы он / она знали, как ее назвать.