文 献 综 述 随着信息技术的不断发展,信息管理系统应用非常广泛,这对系统安全提出了更高的要求,使得信息系统的数据安全越来越受到人们的重视。

人们设计了各种权限管理模型,以确保只有被授权的用户才能访问某些敏感的数据和信息。

1. 权限管理的主要应用场合和功能 在基于B/S或者C/S结构的管理系统中，权限管理通常是必要的模块，而B/S系统中的权限比C/S中的更显的重要，C/S系统因为具有特殊的客户端，所以访问用户的权限检测可以通过客户端实现或通过客户端 服务器检测实现，而B/S中，浏览器是每一台计算机都已具备的，如果不建立一个完整的权限检测，那么一个未授权的操作很可能就能通过浏览器轻易访问到B/S系统中的所有功能。

因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测，让经过授权的用户可以正常合法的使用已授权功能，而对那些未经授权的操作将会被系统拒绝。

一个好的权限管理系统应该对每一类或每一个用户，分配不同的系统操作权限，并应具有扩展性，也就是它可以加入到任何一个带有权限管理的Web应用项目中，就像构件一样可以被重复使用。

同时，还要提醒开发者，开发一个Web应用项目时，应尽可能的将整个系统细化，分解为若干个子模块，最后组合成一个完整的应用。

也只有这样，才容易实现为每一类或每一个用户分配不同的操作权限。

2. 基于角色的权限管理 权限管理的方法有很多，如自主型访问控制DAC和强制型访问控制MAC，其中基于角色的访问控制(Role BasedAccess Control,RBAC)模型得到了越来越广泛的认同,基于角色的权限控制访问权限控制决定了一个用户或程序是否有权对某一特定资源执行某种操作,传统的权限控制是通过将访问权限直接和用户对应起来的方式实现的。

随着网络的普及,用户可访问的信息资源的结构日趋复杂,规模日益增大,使用这种传统的访问权限控制机制,使得对信息的存取权限的管理变得十分复杂和繁重,难以满足现实的要求,由此产生的基于角色的权限控制RBAC，但是该模型不便于实行层层负责管理。

因此,可以设计一种基于角色和用户授权相结合的访问权限控制方法,该方法在对大量用户进行层层授权管理方面,具有授权方便、灵活、用户权限可控性强等特点。