随着社会的不断进步、计算机技术的高速发展和Internet应用的广泛展开，社会信息化的程度越来越高，已经深入到人民的生活中。国家正在大力推行企事业单位的信息化建设，越来越多的企事业单位都建立了基于Internet的Web应用系统，但是，Web应用系统的安全问题也越来越突出，访问控制技术就是解决Web应用系统安全问题的主要方法之一。本文将Web应用系统的安全作为研究重点，对目前流行的RBAC技术进行了深入的研究和扩展，设计和实现了一个适合Web应用系统的访问控制模块。首先，本文对目前常用的访问控制技术进行了研究和概述，分析自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）这三种模型的特点。阐述了RBAC模型的基本概念和设计思想，重点研究了RBAC96和ARBAC97模型的体系结构。其次，介绍了软件开发的多层设计模式，详细的阐述MVC模式的设计思想，对轻量级J2EE开发框架（SSH）的设计思想进行研究，对Struts、Spring和Hibernate框架技术进行深入的研究和分析。研究了基本RBAC模型和扩展的RBAC模型，分析出目前RBAC模型的问题，并在基本RBAC模型的基础上进行改进，提出了一种基于部门和业务的扩展RBAC模型—BSRBAC,将角色的权限分为公有权限、私有权限、部门权限和业务权限，解决了复杂系统中角色层次复杂、角色权限的划分与单位组织结构和业务无关、角色继承关系中高级角色权限集合庞大和权限冲突的问题。根据BSRBAC模型完成了Web考试系统权限管理模块的设计，包括用户管理设计、角色管理设计、权限管理设计、部门管理设计、权限类型管理设计、用户角色关联管理设计和角色权限关联管理设计以及针对权限管理系统的数据库设计。最后对本文所做的工作进行总结，提出了BSRBAC模型存在的不足并指出了今后的改进方向。