访问控制是信息安全的重要课题之一。在企业级开发中，最为普遍采用的访问控制机制是基于角色的访问控制(Role Based Access Control)，简称RBAC。标准的RBAC包括核心RBAC、继承性关系和职责分离关系等。目前最为广泛使用的企业开发平台是J2EE，其访问控制机制主要也是基于角色的。但J2EE的角色机制与标准RBAC有很大的不同，也存在一些缺陷。比如，J2EE的角色仅仅是一组权限声明的集合，并且不具有继承关系、约束关系，也不能在运行时对角色和权限进行动态管理。 本文在对RBAC和J2EE访问控制机制研究的基础上，详细分析比较了J2EE角色机制与标准RBAC的差异，归纳出了J2EE访问控制中角色等机制的不足。针对这些不足，本文设计了一套适用于J2EE环境的扩展标准RBAC模型，并实现了一套完全基于J2EE标准技术的RBAC扩展系统JERS(J2EE Extended RBAC System)。该系统采用了JACC(Java Authentication Contract for Container)、JAAS(Java Authentication and Authorization Service)等技术标准，独立于具体应用，完全从服务器层面提供访问控制。系统不仅实现了上述扩展标准RBAC模型，还弥补了J2EE标准访问控制的其它一些不足之处，具有较强实用性。