1.1 研究目的及意义

伴随着各行各业信息化建设的进程，出现了各式各样的管理信息系统，信息系统的安全越来越受到软件开发人员及企业用户的关注。信息系统的权限对于每一个基于Web的应用系统来说都是不可缺少的，如果不在其中建立一个完整的系统权限的检测，那么“非法用户”很可能就能通过浏览器轻易访问到Web系统中的所有功能。举个例子，比如学校教务处的系统，学生、老师等不同职位的人权限是不一样的，学生可以查看和更改一些有限的信息，但像考试成绩、入学日期等信息是一定触碰不到的，否则岂不是可以随意更改自己的成绩！相反，入学日期是有专门的人员录入的，而考试成绩等信息是由老师来录入的。各种各样的信息所要求的权限是不同的，所以我们需要对登入的用户分配不同的权限来查看或者操作被分配的资源。

以实现上述的内容为目的，本篇论文主要研究基于角色的权限管理的实现方法，利用springMVC Hibernate Spring框架搭建系统，并完成资源权限管理的系统设计、功能与数据库设计，制作一套完善的基于Java的权限管理系统，实现用户登录、资源管理、角色授权管理和个人信息管理等功能。

国外学术界对于权限管理已经作了大量的理论研究工作，提出了许多种模型。目前主流的访问控制策略主要有自主访问控制(Discretionary Access Control，简称DAC)、强制访问控制(Mandatory^ccess control，简称MAC)和基于角色访问控制(Role—Based Access Control，简称RBAC)三种。本文主要研究的正是第三种。

1.2 国内外研究现状

美国国家技术标准委员会(National Institute of Standards and Technology，NIST)于20世纪90年代初提出的基于角色的访问控制RBAC(Role—Based Access Control)模型，成为近来研究的最为热门的存取控制模型。

因为在传统模型中管理用户对数据资源的存取是直接为用户授予一些操作权限，一旦用户的职责发生变更。管理员就要更改用户权限，安全管理处于较低层次，不能根据企业组织的结构形式来进行用户权限划分，而RBAC则能够在较高的层次上通过用户角色控制用户权限的改变。RBAC是根据整个企业组织的结构中不同岗位职责进行角色划分的，而并非针对具体的某个用户划分权限，即资源的访问许可是通过角色来获取的，利用角色层次结构将用户与权限联系起来，当用户成参其相应角色的成员时便可以获得该角色所拥有的权限，从而在很大程度上简化了用户与权限的管理。

在参考和吸收国外关于权限管理相关理论模型的基础上，根据各自软件应用系统的实际需要，国内的一些研究所和大学也已经开始研究并开发了一些权限管理系统，取得了一些成果。山东师范大学的隋宏伟、王化雨、刘宏等针对信息系统用户权限管理的复杂性和设计上的重复性，文中从复用的角度出发设计出一个用户权限管理构件模型，并开发出用户权限管理构件生成系统，实现了用户权限的构件化管理和复用，并用于实际的信息系统开发中。