访问控制(access control)就是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。传统的访问控制技术主要分为两大类,即自主型的访问控制 DAC和强制型的访问控制MAC。这两种访问控制方式的都有其明显的不足,DAC将赋予或取消访问权限的一部分权力留给用户个人,这使得管理员难以确定哪些用户对哪些资源有访问权限 ,不利于实现统一的全局访问控制。而MAC由于过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性等考虑不足。 90年代以来出现的一种基于角色的访问控制 RBAC技术有效地克服了传统访问控制技术中存在的不足,减少授权管理的复杂性,降低管理开销,使指定和执行特定企业保护策略的过程更加灵活,能为管理员提供一个比较好的实现安全政策的环境。RBAC中引入了角色这一重要概念。它的基本思想是:授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。RBAC根据用户在组织内所处的角色进行访问授权与控制。也就是说 ,传统的访问控制直接将访问主体(发出访问操作、存取要求的主动方)和客体(被调用的程序或欲存取的数据)相联系,而 RBAC在中间加入了角色,通过角色沟通主体与客体。真正决定访问权限的是用户对应的角色。本文所涉及项目希望为各种平台下的Web服务器提供基于角色的访问控制能力,系统在开发时采用了面向对象的系统分析与设计方法,并尝试采用统一软件过程进行项目管理和质量控制。系统实现了可视化的角色编辑,管理员可以快速直观地完成角色关系树的构造;系统还提供了可扩展的用户认证机制,适合于应用的不同需求;本系统在描述资源时还采用了基于URI的资源描述和定位方式,借助URI本身强大的资源描述能力,大大拓宽了本系统的适用范围,理论上只要URI能够描述的资源,都可以用本系统来进行访问控制。