随着web技术的进步与发展，我们的生活方式也发生了翻天覆地的变化。工作中我们使用着各种办公自动化系统，通过使用这些办公自动化系统达到充分利用信息，提高工作效率和工作质量，提高生产率的目的。生活中通过社交类型网站加近了我们与他人之间的交流；通过电子商务网站进行各种类型的交易。在这些web应用系统中，用户的安全认证和权限管理作为系统的重要组成部分，是一个安全的信息系统中不可或缺的一部分。它不但能够防止非法用户进入系统而且还能够防止用户对系统资源非法访问。目前，很多基于web的应用系统存在着很多的安全漏洞，例如缺少URL保护；授权的不合理或者缺失，用户该拥有的权限没有不该拥有的权限却能看到；数据库认证信息不安全；个人信息和敏感数据容易获取或者没有经过加密；传输层没有经过SSL加密。以上漏洞会给黑客可趁之机。很多软件可以轻松通过URL侵入、SQL注入等模式，轻松越权获得未授权数据。甚至对系统数据进行修改、删除，造成巨大损失。权限管理模块又是一个重复开发率比较高的模块之一，在很多企业中有不同的应用，每套应用中都需要满足自身的权限管理需要。无论是在数据存储、权限访问、权限控制上都存在着很多特殊的地方。目前系统中采用硬编码方式进行编码的话这样会照成逻辑与业务代码的紧密耦合。这样不但给开发人员照成重复的劳动，维护人员还需要额外的维护多套权限管理系统；而且在用户管理、组织机构管理等数据重复维护，导致了数据一致性、完整性得不到保证；系统集成比较困难，实现单点登录比较困难给构建企业门户带来困难。本论文就是为了解决以上问题，构建一个通用、完善、安全、易于管理、有良好可移植、可扩展的权限系统，使权限管理系统真正的成为权限控制的中心，在系统安全方面发挥真正的重要的作用。本文系统设计过程中着重在权限管理模块和其他业务模块分离，提供一些公共方法的支持与扩展来防止我们重复的开发使我们系统能够很方便集成其他的业务模块；在权限管理模块中使菜单权限和数据权限分离。这样极大的实现了系统配置的灵活性。在本论文中我们就通过一个基于j2ee的web框架来实现一个安全的、通用的权限管理系统平台。在实现用户安全认证和权限管理方面我们主要考虑了以下几个方面来实现系统的安全性能。关于用户的安全认证方面我们可以通过以下几点：1）在用户注册过程中通过用户密码长度与复杂度校验来确保用户密码的安全；2）通过md5加密+盐值的方式确保密码安全；3）通过安全证书认证确保用户身份信息在传输过程中安全。在用户授权方面，它管理着哪些用户能够访问哪些资源更甚是对某些对象读写权限，因此在实现用户授权方面我们可以考虑以下两点：1）菜单权限，菜单权限我们采用了基于角色的访问控制(Role‐Based Access Control, RBAC)并扩展了资源管理部分，2）数据权限，它类似于windows或linux系统中的权限，比如系统中可以对自己的资料信息进行读写操作，而其他登录用户只能进行读的操作，而为登录用户既没有写也没有读的权限。系统中我们选择基于J2EE标准的企业开发平台，J2EE标准的企业开发平台是目前使用最为广泛的企业级开发平台，它具有很好的移植性，能够在任何操作系统和硬件配置上运行；它提供了很多开源框架和中间件来简化我们开发，让我们把工作重点放在业务逻辑上面；它强大的伸缩性和稳定性能够使我们的应用系统在负载平衡和安全稳定的使用上得到保障。系统中我们就使用到了很多开源技术，采用了SSH（即Spring+Struts2+Hibernate）经典框架组合。通过SSH框架的组合可以很大方面解放我们的开发工作，我们可以把更多的时间来放在业务实现上。在安全认证和权限管理的设计开发过程中存在着大量的重复性工作，使得人力资源利用非常低，权限管理模块中许多固有的优势不能得以充分发挥。我们还需要继续深入研讨和交流实现基于web的应用中的安全认证和权限管理功能，针对现有系统不足，我们引入Web服务技术，把web应用系统安全认证和权限授权细分成一些可重用的功能模块，并封装成Web服务，构建基于Web服务并能很方便的集成其它业务模块，这对web应用的安全方面有着重要意义和实用价值。