適当にでっち上げたクライアントではてなブックマークとX-WSSEで接続テスト。

POST /atom/post HTTP/1.1
Accept: */*
Host: b.hatena.ne.jp
User-Agent: hb
Content-Type: application/x.atom+xml; charset="utf-8"
Content-Length:233
X-WSSE: UsernameToken Username="username", PasswordDigest="5egz1zhxkSLZNwXXXJkJlE+rdqc=", Nonce="DsyALrwKEFepfnqBVFK7PScXVr0=", Created="2006-01-10T09:45:19Z"

みたいなヘッダで接続できた。Content-Lengthが重要らしく、これがないとInternal Server Error。
テストに使ったマシンは時間が１５分ほどずれているが、Createdの時刻はずれててもOKらしい。replay attackされちゃいそう。よく考えたら、そもそもこの認証は暗号化してないからもともとman in the middle attackには無力か。