随着计算机网络技术的不断发展，办公信息系统在企业中被广泛使用，系统的权限问题受到越来越多的关注。如何让合法的用户访问到需要的资源，而非法用户受到限制，保护企业信息的安全性有着重要的意义。因此办公信息系统的权限管理问题成为本文研究的重点。　　 基于角色的访问控制(RBAC)是目前国内外比较流行的权限管理模型，较传统的访问控制技术(强制访问控制技术(MAC)和自主访问控制技术(DAC))有着明显的优势。本文将基于角色的访问控制(RBAC)作为权限管理的理论基础，同时对其进行扩展，将部门新实体引入到用户和角色之间，使部门和角色共同决定主体对客体的访问权限，增加权限配置的粒度，以模拟现实世界中多部门的角色授权体制。　　 本文总结了目前信息系统中采用的不同权限控制方式，并分析了这些权限系统所存在的问题，在广泛使用的J2EE平台下实现基于部门和角色的权限管理。该系统不仅能够根据不同部门的不同职责进行角色配置，同时也满足同一部门的人员权限也不同，特别是满足同一职责在不同部门其权限也不尽相同的特殊需求，为企业信息系统提供一个普遍可借鉴的权限管理子系统。