访问控制是用来保护系统资源免于被非法用户访问、更改、破坏的一项重要技术。目前，基于角色的访问控制(Role-Based Access Control，RBAC)和基于任务的访问控制(Task-Based Access Control，TBAC)都得到了广泛的应用。但是，由于RBAC模型和TBAC模型都存在各自的缺陷。因此，在RBAC基础上，结合强调工作流程的TBAC思想，利用AOP技术实现了Web服务访问控制模块，细化了企业应用系统的安全访问控制粒度，适应了工作流程的动态变化。 通过AOP技术将企业应用系统中具有横切行为的访问控制模块抽取出来，封装成独立的模块，然后将该模块“无缝”地集成到企业应用系统中。由于企业应用系统采用了不同的开发平台，使得企业应用系统的集成代价过高。考虑到Web服务在企业应用集成方面的优势，通过将AOP技术实现的访问控制模块发布为Web服务形式供企业应用系统中的对象调用。这一方法将访问控制模块从企业应用系统中彻底独立出来。AOP技术实现的、基于RBAC和TBAC的访问控制模块能够对系统内各种对象进行主动的权限校验。为了能够对系统中对象进行细粒度的权限控制，访问控制模块将Web页面代表的功能看作包含多个步骤的工作流程。在系统运行时，访问控制模块根据企业应用系统的工作流程上下文对系统对象采用适当的访问控制。同时由于访问控制模块以Web服务的形式作为系统与外部交流的接口，能够使新的系统和别的系统之间保持松耦合的关系，保持较高的可扩展性。因此，这种访问控制模块的实现方式取代了将权限控制功能模块分散到系统的多个对象中的传统开发方式，从而提高了系统的安全性和可维护性，具有良好的适应性和灵活性。