随着网络技术的飞速发展，WEB 应用系统得到了越来越多的应用。而每个应用系统往往都有自己的一套用户认证和授权方法，为了对用户进行统一的认证和授权管理，所以有必要将不同系统的各种认证方法集中到一个框架中，也就是需要有一个独立的、高安全性和可靠性的身份认证及权限管理系统，来完成对整个WEB 用户的身份认证和权限管理。因此建立一个统一的身份认证和权限管理系统，对用户实现统一的认证、统一的管理和统一的授权已经成为 WEB 信息安全系统建设中的重要环节。 JAAS 是能够实现这种框架的 Java 版本。Java2 安全框架提供的是基于代码源的存取控制方式，JAAS 在此基础上还提供了基于代码运行者的存取控制能力。论文深入分析了 JAAS 技术，并提出了一个基于 JAAS 的 WEB 应用框架原型。采用这个 WEB 应用框架原型可以解决传统 Web 系统中的应用程序和认证模块紧密偶合、独立性较弱的问题，使得认证模块和应用程序各自相互独立，可以单独开发，它们之间的联系通过配置文件来实现。 最后，设计和实现了一个安全、高效、易于维护的基于JAAS技术的 WEB 应用软件系统。然后对系统进行认证授权测试，结果表明，所实现的 web 应用系统具有认证和授权的相应功能。因此，所提出的基于 JAAS 的 WEB 应用框架原型具有合理性，符合软件设计思想，可以优化系统开发过程和提高系统开发效率。