随着计算机网络技术的快速发展，各个行业的办公信息化程度日渐提高。目前，各种类型的信息系统在各部门与企业中应用得越来越广泛，办公信息化在给人们带来极大便利的同时，也会带来一些安全上的隐患。因此，系统的信息安全问题也就得到更多的关注与重视。访问控制作为大多数应用系统中安全管理的重要组成部分，得到了越来越广泛的研究。本文的课题来源于区域卫生信息平台项目，主要工作是根据项目中的实际需求，研究并实现针对该平台的统一权限系统。文章研究了当前业界比较流行的基于角色的访问控制模型，并结合区域卫生信息平台的特点，对模型做了相关改进。引入角色组，提出基于角色组来实现对平台中的用户统一授权的思想，采用WebServices技术实现平台角色组的管理；引入用户类型，将不同的用户划分为与之对应的用户类型，通过用户类型完成系统对用户的过滤，并实现了分级授权；引入机构这一实体，对机构用户进行分开授权，从而简化了授权管理；采用基于隐藏菜单与操作项目的访问控制策略，结合用户执行操作之前的权限验证，并改进了权限验证的实现机制，提高了系统的安全性；将访问对象划分为功能菜单与数据库表，并为它们配置相应的访问权限，从而提高访问控制的粒度，最终设计并实现了适合该平台的统一权限系统。本文权限系统的设计包括平台子系统管理、用户管理、角色与角色组管理、权限管理、系统资源管理、日志管理、约束限制管理、机构管理、权限验证管理以及权限系统数据库模型设计等。文章对各功能模块数据库相关表的设计以及主要功能模块的实现作了详细阐述。文章设计的权限系统基于J2EE框架，采用Struts、Spring与Hibernate架构，并使用了可扩展标记语言。在权限系统的开发过程中充分利用了J2EE框架以及其它相关技术的优势，实现了高效的开发，并确保了权限系统的稳定性，提高了信息平台的安全性。