随着数字化信息化的迅猛发展，我们已经全面迈进信息化时代，信息化产品在我们的生产生活中随处可见，B/S应用程序因为可以方便地为人们提供网络信息服务被广泛地应用于网上银行、网络教学、协同办公等。然而，这些Web应用程序在使用的过程中也并不是绝对安全的，来自网络的、系统的、Web应用程序自身的安全问题层出不穷，尤其是对于B/S应用系统，安全性问题更是突出。权限控制作为安全控制的一个方面是每个B/S应用程序不可或缺的，因此强健的权限控制功能是我们极力追求的目标。针对当前B/S应用程序中普遍存在的对URL地址请求、服务层方法及系统页面导航的访问控制能力不足，以及在实现中存在的业务和访问控制逻辑紧耦合而带来的管理不便等问题，本文对此展开研究。首先对权限控制相关理论和技术进行了研究，通过对访问控制概念及策略需求、传统访问控制类型的特点和适用范围进行剖析，重点研究了比较适用于B/S应用系统并且可以有效降低权限管理复杂性和提高管理灵活性的基于角色的访问控制模型，并将其作为本文所实现系统权限控制框架的基本模型。其次，基于RBAC访问控制策略和Spring Security在认证授权权限控制方面通过过滤器链实现访问控制的设计思路，并对此进行扩展，设计和实现了针对SSH框架开发的B/S应用系统的权限控制框架，该框架在权限管理上对SpringSecurity身份认证和访问授权模块进行了扩展，通过对接口实现类的自定义、用户角色资源管理操作界面的设计、动态组建资源访问控制列表以及SpringAOP技术和位运算权限控制方法的使用，实现了数据表的自定义、用户角色资源的动态管理和基于URL、服务层方法及系统页面导航的访问控制，并且达到了业务逻辑和权限控制逻辑的解耦效果。最后，该权限管理框架被应用于采用SSH框架开发的B/S应用系统中，经过测试发现，实现了对用户角色资源的动态管理，有效降低了用户在权限控制管理方面的复杂性，同时在认证和授权方面起到了有效的控制。