随着网络技术的迅速发展,信息安全问题日益突出。权限控制是信息安全保障机制的核心内容,它是实现系统安全的必要手段。在权限控制系统的设计过程中,经常会遇到相同的需求,有必要以框架的形式减少重复劳动,方便开发与维护。本文针对当前Java开发领域中,使用的权限控制框架存在的缺乏通用性这一问题,提出了一种基于RBAC模型的通用权限控制框架,它提供了多认证模块间的切换,并采用了大量的信息安全相关技术。主要解决了现有的权限控制框架中存在的如下缺陷:基于特定的应用框架或应用服务器,利用它们开发的权限控制系统无法实现代码迁移;基于特定的应用开发模型;权限管理系统间的集成存在问题,难以实现单点登录;权限控制的粒度不够;授权模型和实际工程脱钩;配置复杂或者应用接口复杂等。论文的研究内容有:现有的三种权限控制策略的优劣; RBAC模型的优势及框架采用这一模型的原因; PAM可插拔认证模型的概述;权限控制框架相关的密码算法和安全协议总述;对现有的JAAS,Spring Security,Jboss SX框架的认证授权过程的分析,阐述其设计上的优点并予以采纳。同时,也分析了这些框架存在的不足,并致力于改进。在理论准备的基础上,进行框架的总体设计和详细实现。框架的总体设计采取了先编写接口,再详细实现的方式。主要遵循:不依赖特定应用框架或服务器以支持代码迁移;使用简单Java类以支持异构系统访问;使用统一的会话接口以支持单点登录;提供可控制的授权粒度;采用多种密码算法及协议保证安全;设计简单;尽量避免框架的侵入性等原则。框架拟定了多个接口以支持RBAC模型和PAM模型。对每一核心接口,论文都进行了详细的阐述。在总体设计的基础上,进行了通用权限控制框架关键部分的实现。论文阐述了详细的实现过程。为了方便应用开发人员使用,也讨论了相关的web支持,面向切面等应用编程接口。论文最后,给出了使用通用权限控制框架的代码示例,分析其执行流程,通过实验证明通用权限控制框架的设计是正确可行的,具备实际的工程价值。