企业构建了一系列Web应用系统,但每个系统的权限管理是定制研发,与应用系统紧密耦合,很难实现权限管理复用,也给企业统一用户和授权管理带来不便。基于角色的访问控制模型RBAC是目前应用最广的访问控制模型。现代企业的用户权限经常变化,仅调整角色来改变用户授权,难以满足复杂情况变化的需要；同时传统RBAC模型的授权冲突解决策略有效性差。针对以上问题,本文对RBAC模型进行进一步的扩展提出了继承和优先约束驱动的用户和角色混合访问控制模型IPC_URBAC,并基于SOA的Web Service技术设计实现了平台无关的、松耦合的、易扩展的统一权限控制机制。文中首先分析了自主访问控制DAC、强制访问控制MAC和基于角色访问控制RBAC的优缺点,验证了RBAC模型更适合Web应用系统的安全管理需要。然后,通过分析RBAC模型的不足,扩展RBAC模型提出IPC_URBAC模型,给出继承和优先约束的定义,提出个体和优先冲突解决策略,并给出求解用户权限的算法。其次,基于SOA思想和改进的IPC_URBAC模型设计实现了统一权限控制机制,分析了统一权限控制机制的特点,给出与Web应用系统集成的方法。最后,结合作者参与开发的CRM项目介绍了统一权限控制机制的应用实现。IPC_URBAC模型加入继承约束来灵活控制用户授权的有效性,增强了模型授权灵活性；设计继承和优先约束以及个体和优先解决策略很好的解决了用户和角色授权冲突问题,增强了模型安全性。本文在约束和授权方面的扩展,对RBAC模型的研究具有一定的借鉴意义。基于SOA架构思想将权限控制变为Web服务来实现,实现了安全模型最大粒度的可重用性,将权限控制从Web应用系统中最大限度的独立出来,使权限控制升级与原有系统分开,通过调用权限服务实现与不同Web应用系统集成,也为SOA的成功实践提供了一些新想法。