近年来，工作流技术已经成为人们的日常业务处理中越来越重要的技术。在全球范围内，对工作流技术的研究以及相关产品的开发进入了更为繁荣的阶段，工作流技术的研究应用日益受到学术界与企业界的重视。但是，随着工作流技术的应用日渐深入，其访问控制的安全性也越来越受到人们的重视。人们在关注工作流过程定义、工作流建模等方面的研究进展时，也在关注其访问控制的发展。如何保证工作流管理系统的访问控制安全性，正是本文的研究重点。 本文首先对传统的访问控制模型理论进行了研究，包括自主访问控制模型，基于角色的访问控制模型等，然后在对工作流管理系统相关理论进行研究的基础上，将基于角色的访问控制模型引入基于web的工作流管理系统中，给出了一种基于角色的web工作流管理系统访问控制解决方案。本文提出了一种基于角色的web工作流管理系统访问控制模型，给出了其理论模型，并对该理论模型进行了形式化描述。该模型实现了对工作流系统中涉及的数据资源和业务资源的安全访问控制，同时引入约束规则，实现了最小特权原则和职责分离原则以及多人负责原则等安全访问原则。 本文依托天津市软件评测中心的测试流程管理系统项目进行研究开发，成功的将基于角色的web工作流管理系统访问控制模型应用到测试流程管理系统中。该系统的正常运行表明了设计的访问控制模型的有效性和实用性。