基于Jasig CAS实现图书馆统一身份认证.docVIP

基于Jasig CAS实现图书馆统一身份认证〔摘 要〕为了解决图书馆各个服务系统的统一认证问题，提出了基于Jasig CAS实现统一身份认证的解决方案，并对其中所涉及的关键技术进行了描述。利用该方案，实现了深圳大学图书馆统一身份认证，为需要实现统一认证的其他图书馆提供了参考。 〔关键词〕统一身份认证；CAS；图书馆 〔中图分类号〕ＴＰ391 〔文献标识码〕Ｂ 〔文章编号〕1008－0821（2012）09－0134－05 近年来，随着图书馆数字化建设的不断推进，越来越多基于Web的服务系统为图书馆提供服务支撑。如联机公共目录查询系统OPAC、图书馆门户网站、校外远程访问系统EZProxy[1]、下一代互联网校园学习生活交流平台CARSI Portal[2－3]、CALIS中心的应用系统[4]、读者问卷调查系统等。这些服务系统都有自己一套独立的身份认证机制，所使用的技术架构也不尽相同，这样导致用户在使用这些系统时都需要输入用户账号和密码信息，加大了认证复杂度，降低了图书馆服务的易用性。 单点登录，指的是用户登录一次后，可以访问所有互相信任的应用系统而不再需要身份验证。单点登录可以降低认证复杂度，方便用户使用图书馆的服务，提高了图书馆资源的共享率。因此如何实现统一身份认证已成为图书馆亟待解决的重要问题之一。 1 需求及技术思路 目前，深圳大学图书馆为读者提供了OPAC、门户网站、期刊电子资源浏览下载、CARSI Portal、CALIS“E读”、CALIS馆际互借与文献传递、深圳文献港[5]等服务。这些服务所使用的开发技术不尽相同，其中OPAC是采用ASP.NET技术自主研发的；门户网站是采用SupeSite（一款由Discuz开发的PHP+MySql的内容管理系统平台）进行管理；期刊电子资源浏览下载的校外服务，本馆采用了目前被国外广泛使用的实现校外访问代理软件EZProxy；CARSI Portal是由北京大学发起的采用Java技术解决联盟内部进行高校资源共享问题的门户；CALIS“E读”、CALIS馆际互借与文献传递是CALIS（中国高等教育文献保障系统）提供的服务；深圳文献港的开发技术是Java。 这些服务都有各自的应用系统来支撑，而且具有相对独立的身份认证模式。因此本馆需要统一认证方案，来解决用户单点登录问题。 在国内，一些教育机构使用Jasig CAS[6]来解决统一认证问题。如国家科学图书馆[7]，北京邮电大学图书馆[8]，浙江林学院数字化校园[9]，国家科技基础条件平台专项资助的地球系统科学数据共享网[10]。刘峰等基于CAS解决门户单点登陆问题，并提出支持单点退出的改进方案[11]。宋春丽等基于CAS与Web服务对遗留系统进行集成[12]。 国外的一些软件产品[13]如uPortal、Liferay portal、Kuali Workflow、Kuali Notification等集成了CAS客户端，用户在使用这些产品时可以轻松地接入基于CAS的统一认证平台。 因此，本馆拟采用CAS来实现统一身份认证平台。解决思路如下：基于CAS服务器端技术，搭建认证服务平台，同时该平台需要能与本校的一卡通认证方式接入；研究CAS客户端技术，为OPAC、门户网站等加入CAS客户端；研究EZProxy、CARSI Portal、CALIS“E读”、CALIS馆际互借与文献传递、深圳文献港等接入CAS认证平台的问题。 2 基于CAS的统一认证方案 Jasig是一个由教育机构和为高等教育贡献开源软件项目的商业公司组成的联盟。CAS(Central Authentication Service)是由Yale大学发起的一个开源项目，在2004年正式成为Jasig的一个项目。该项目针对应用系统提供了一套安全可靠的企业级单点登录解决方案。 CAS分为服务器端Server和客户端Client两部分。CAS Server需要独立部署，主要负责进行用户身份认证；CAS Client则负责处理对受保护资源的访问请求，当需要用户进行登录时，重定向到CAS Server。图1展示了CAS认证过程。 首先用户通过Web浏览器访问所需的受保护Web应用；该Web应用通过内嵌的CAS客户端把请求转向CAS服务端；CAS服务端判断用户是否已经登录，如果没有则打开认证界面供用户进行身份验证；认证通过后，CAS服务端向Web应用传输生成的票据（Ticket）；CAS客户端把取得的票据向CAS服务端请求验证票据；验证通过后，Web应用可以通过CAS客户端向服务端取得认证通过的用户ID，并向用户提供其所请求的服务。 从图1可以看出，CAS的核心就是其票据以及在票据上的一系列处理。 CAS Server支持多种