本文研究了应用级的访问控制，根据基于角色的访问控制模型，针对基于B／S体系结构的信息系统，提出一种实现访问控制的通州解决方案，设计并实现基于角色的访问控制系统平台。该平台把系统的安全逻辑从业务逻辑中分离出来，实现了安全与应用的分离。 首先,比较自主访问控制模型、强制访问控制模型和基于角色的访问控制模型三种访问控制模型，分析这三种模型的优缺点。重点研究了近年米较受关注的一种访问控制模型一RBAC模型，分析RBAC的三种模型：RBAC96、ARBAC97、RBAC／Web。RBAC模型可以有效地简化授权管理的复杂性，降低管理开销，为管理员提供一个实现复杂安全策略的良好环境。 接着，对基于角色的访问控制系统的总体方案和设计过程进行了详细的论述，对于系统开发过程中所使用的关键技术给出了详细的介绍。该系统主要采用ASP．NET技术和SQLServer数据库实现，由前端表示层、中间业务逻辑层和底层数据服务层三个层次构成。其中表示层面向用户提供一种互动式的服务。业务逻辑层实现业务逻辑，使用．NET组件实现业务逻辑。数据访问层支持对数据库的访问、查询等操作。该访问控制系统能够实现RBAC的关键功能，包括：用户身份验证、权限验证、权限管理以及根据用户的权限生成动态网页等。根据需要设计了修改用户密码复合控件，复合控件能够实现应用程序的快速开发。为了实现访问控制，设计了访问控制码，并且给出了生成用户访问控制码的方法。采用递门调川算法实现角色层次的遍历。 最后，以网上书店后台系统为例，证明该设计方案在基于B／S体系结构的信息系统中是可行的。同时根据网上书店前台系统的特点，给出了一个使用。NET角色实现基于角色的访问控制的简单而实用的方法，对于如何使用。NET角色实现基于角色的访问控制进行了详细的介绍。为了提高系统的安全性，通过使用SSL对用户和服务器之间的通信加密，使用散列运算、Salt运算对用户的密码信息进行加密，使用DPAPI对数据库连接字符串进行加密。