周加强

（山东大学图书馆，山东 济南250100）

联合认证在CALIS省级区域中心的应用

周加强

（山东大学图书馆，山东 济南250100）

本文论述了联合认证的基本概念和原理，并基于J2EE平台开发实现了高校图书馆和CALIS省级区域共享域平台的联合认证，展望了通过该技术建立一个三级联合认证平台，通过网络实现区域乃至全国图书文献保障体系任何时点登录，随时随地享受便捷服务的远景。

联合认证；单点登录；全国图书文献保障体系

1、联合认证的基本概念

高等学校各个区域性的共享域中心、地区文化共享工程等如雨后竹笋般涌现在互联网上，为学校或社会的读者提供文献的检索和获取等服务。然而用户在使用的过程中，为了简化管理，系统一般都采用了IP登录方式，即只要读者的IP地址在许可的范围内，可以直接使用系统提供的服务。为了能在区域中更广泛的使用，以及涉及到财务数据的系统中，需要实名用户登录，用户名密码的登录方式成为一种不可缺少的登录策略。

共享域中心的用户与各个机构或者高校做统一认证和统一授权管理，需要两种方式，一种是用户数据同步，另外一种是联合认证。

用户数据同步是指把机构或者高校图书馆的用户信息，定期同步到共享域中心的用户库中。这种方法实施简单，但由于同步不会实时的进行，经常带来用户的信息不一致的情况发生。而联合认证是指一个机构A信任另一个机构B，并使用机构B提供的认证服务来对登录其机构的用户进行认证；联合认证使不同机构的系统能更好的进行合作，进一步提高跨机构用户的体验。

2、联合认证的登录流程场景

联合认证的登录流程场景如图1所示的10个步骤来完成：需要图书阅览或查询的读者从浏览器发起对共享域平台中的应用系统“馆际互借读者网关”发起访问（第1步），馆际互借读者网关发现读者未登录，便重定向到区域统一认证中心SP（第2步）。SP也发现该读者未在此登录过，于是又重定向到该读者所在机构的联合认证中心IDP（第3步）。IDP向读者浏览器发送登录页面（第4步），读者输入用户名密码后点登录（第5步），联合认证中心IDP验证用户名密码在本机构是否合法。如果合法，则重定向到统一认证中心SP（第6步），统一认证中心根据回传回来的令牌ID，通过第7步和第8步调用联合认证中心的WEBService，返回该读者的详细信息，并保存到SP缓存中，登录成功。然后重定向到馆际互借读者网关（第9步）告知登录成功，然后返回登录成功后的页面给读者（第10步），至此，一次联合认证的登录流程全部完成。

3、联合认证的优点

通过图书馆区域中心和共享域认证中心实施联合认证，会带来以下优点。

（1）不再需要往共享域平台同步和导入用户数据了；共享域对图书馆区域的认证，完全依赖该图书馆区域提供的联合认证接口来实现。这样给图书馆的管理带来了极大的灵活性，图书馆可以完全控制用户的登录行为。

（2）实现一个用户名和密码，可以登录图书馆区域的所有应用系统，比如门户平台、

图1　联合认证登录流程场景图

OPAC系统、电子阅览室系统等，而且可以实现单点登录（SSO），在图书馆系统登录成功后，可以直接访问共享域平台的所有被许可的系统资源。

4、联合认证的数据来源

对于高校图书馆，联合认证的最重要的数据来源之一，是各高校图书馆自动化系统中的读者数据。这些用户数据信息非常全面，而且由图书馆自动化系统进行增删查改维护，只需要做个简单接口就可以，省去了很大的工作量。

特别是目前越来越多的高校已经实施了校园一卡通的项目，因此联合认证的另一个重要的数据来源可以直接采用校园卡数据；使用该校园卡数据可以实现一个学校校园的统一认证。但是鉴于校外读者一般没有校园卡，因此联合认证接口同时必须要具备能够维护这部分校外读者数据的功能。

5、某试点高校图书馆联合认证的基本环境

在某省图书资源共享域平台的各个成员图书馆中，我们首先以某高校为试点，开发并实现了联合认证接口。某高校图书馆认证环境如图2所示。

图2　某高校图书馆认证环境

学校图书馆的本地认证中心，挂接在本地WEB服务总线LSB（Library Service Bus）上，为馆内其他应用服务器（如图书馆门户、OPAC、资源校外访问等等）提供统一认证服务。本地认证中心的读者数据和校园卡管理中心实现实时同步。为了用户数据安全，用户密码字段不做同步，通过一卡通的API来进行用户名和密码的验证。联合认证接口服务部署在本地认证中心的服务器上。这样，读者通过校园卡的用户名和密码，可以访问图书馆提供给读者的各项服务。

6、联合认证接口的实现

联合认证接口是基于J2EE平台进行的开发，使用Eclipse 3.6作为开发工具，采用Tomcat 6作为WEB容器，数据库采用Oracle 10g，使用开源框架SSH（Spring Struts Hibernate）。

图3　联合认证接口架构图

联合认证服务程序分为三层。分别为处理层、页面层、DAO层，处理层是读者和CALIS认证中心进行交互的页面处理层，用来处理用户名密码登录以及CALIS的认证中心的Web服务回调。页面层接收到请求后，调用服务层的CalisFederalService（图4）服务来完成验证。DAO层负责用户数据的持久层的存取访问。通过分层，带来的最大好处是，当给其他高校或机构图书馆部署联合认证的时候，只需要替换DAO层的组件即可，大大减少开发工作量。

在登录页面的IdpAction处理里，会接收3个参数：sp、goto和idp。sp是CALIS统一认证中心的URL地址，goto是应用系统的地址，idp是联合认证中心的代码。

IdpAction首先调用 CalisFederalService的login方法进行登录。该方法会调用UasUserDAO提供的getUser方法返回一个用户实体UasUser。该实体包含用户的全部信息，用户名密码验证成功后，会在联合认证服务器上创建一个 Session项（UasSessionItem）， 其成员如图 6所示。 然后IdpAction将请求重定向到sp参数指定的地址，另外给这个地址加上3个参数goto和idp和artifact。

图4　CalisFederalService接口

图5　UasUserDAO接口

图6　UasSessionItem成员

当CALIS统一认证中心接收到这3个参数的时候，会将artifact作为参数调用联合认证中心ArtifactAction的WEB服务，请求该artifact对应的读者的信息。信息为XML格式的，模版如下：

图7　ArtifactAction回应的格式

最后全部完成联合认证接口的任务。

7、展望

在开发、调试和运行的过程中，系统遇到了一些问题，经过分析和研究，都得到了妥善解决。采用了一些网络嗅探器，进行跟踪HTTP请求，这样可以很清晰的理解和调试联合认证的整个流程，解决了所有HTTP跳转过程怎样跟踪和分析的问题。联合认证中心的artifact由联合认证中心创建和维护，生命周期可以根据情况设置，1小时或其他时限过期，明确了权限，保证了其生命周期的管理。经过开发、部署和运行，该省级共享域平台的联合认证接口运行稳定。学校读者使用自己的校园卡卡号和密码，就可以登录到共享域平台，使用平台提供的文献服务。该技术可通过建立一个三级联合认证的平台，推广到各机构或高校图书馆，使这些成员馆和省共享域平台，乃至全国的文献保障体系网络实现任何时点登录，随时随地享受便捷的服务。

［1］王文清，陈凌.CALIS数字图书馆云服务平台模型［J］.大学图书馆学报，2009，（04）.

［2］杨新涯，王文清，张洁，王宁.CALIS三期共享域与图书馆

系统整合的实践研究［J］.大学图书馆学报，2012，（01）.

［3］姚晓霞，赵永超，陈凌，王文清.基于SaaS的CALIS共享服务实践［J］.大学图书馆学报，2012，（04）.

［4］周君平，孔德新，付伟，杜佳颖.云服务中跨安全域的联合身份认证技术分析［J］.信息安全与通信保密，2012，（11）.

编辑：冯惟榘

Application of Joint Certification in CALIS Platform Center on Provincial Level

ZHOU Jiaqiang
（Library of Shandong University，Jinan Shandong 250100）

This airticle discussed the the basic concept and principle of Joint certification.The exploration of J2EE platform have achieved the joint certification of university library and CALIS platform of Shared domain on provincial level.The airticla also look ahead the development of 3 level joint certification based on this technology，realize the convenient service in long-term prospects that login service in any place and anytime through the internet to bring about literature safeguard system in regional and even the whole country.

Joint certification；Single Sign-On；CALI

F326

A

2095-7327（2016）-01-0036-04

周加强（1971-），男，山东济南人，山东大学图书馆高级工程师，研究方向：计算机应用。