当今天的生产生活和信息密切相关的时候,信息的安全性就显得尤为重要。访问控制技术,信息安全中一个极其重要的组成部分,它在信息安全的各个领域已经都有渗透,传统的访问控制技术由自主类型访问控制(DAC)和强制类型访问控制(MAC)组成,但这两种控制方式具有明显不足,DAC的授权管理不利于实现统一的全局访问控制,MAC的授权可管理性较差。在传统访问控制中,权限控制的灵活性不够、可控性相对也比较差,导致在很多领域的使用中都受到限制。将角色概念引入到访问控制中,建立了“用户-角色-资源”的映射关系,完全改善了权限的灵活性和可控性,这种基于角色的访问控制模型很快被应用于多个领域。针对基于角色的访问控制模型本文作了如下研究:1)根据国内外的研究,重点学习了几种访问控制模型,特别针对基于角色的访问控制模型的几个方面作了着重研究,比如:模型的特点、关键技术和约束原则。2)详细介绍了什么是用户组以及角色与用户组之间的关系,研究了基于角色的访问控制模型在引入用户组概念之后的使用情况。3)在基于角色的访问控制模型基础上,分析、设计并实现了一个基于Yii2框架的RBAC权限管理系统。