随着我国经济的发展，信息技术得到广泛应用，很多网络应用开发者在开发应用时面临着复杂的安全需求。基于J2EE规范的安全中间件为应用提供了基于角色的访问控制服务，但是这种机制缺乏足够的灵活性，难以满足多样化的应用需求和发展趋势，Web应用服务器需要提供更加灵活的安全授权机制。　　 针对上述问题，本文提出一种基于策略的Web应用服务器安全授权框架，该框架使用安全策略语言描述安全授权逻辑，为Web应用服务器提供了高度灵活的声明式的安全授权服务。　　 本文首先介绍当今主要的安全授权技术以及主流的Web应用服务器的采用的安全授权框架，并分析现有安全授权模型的不足，然后提出了一个基于策略的安全授权模型。　　 然后本文针对该安全授权模型，设计与实现了基于策略的安全授权框架。该框架使用分层的架构来实现安全功能，包括安全接口层，安全服务层，安全提供者接口层以及安全提供者层。安全接口层给外部组件提供了安全授权服务的访问接口；安全服务层提供解析安全策略文件，查找安全属性以及策略以及评估安全访问等核心功能，具体实现了安全授权服务：安全提供者接口层定义了安全策略中使用的数据类型，策略算法等的接口；安全提供者层为安全提供者接口提供了默认的数据类型以及策略算法的实现。安全授权框架利用XML结构化对象模型以及Java运行时动态绑定机制，实现了安全提供者的动态加载机制。另外安全授权框架还可以动态的查找用户关注的安全属性。分层架构分离了安全授权过程与安全策略的具体实现，为安全授权框架提供了很好的扩展性。　　 最后本文将安全授权框架应用到中科院软件所研发的J2EE应用服务器OnceAS当中。首先作者通过扩展原有安全框架的方式实现EJB容器和Web容器的安全机制；然后通过扩展Java平台的安全管理器的方式，管理应用对于JavaAPI的访问，最后扩展JMX的安全机制来管理Web应用服务器的各个组件，为Web应用提供安全服务。