在信息系统的设计与实现中权限控制是一个必不可少的部分。权限控制技术用于限制软件系统中的各种资源只能被授予拥有相应权限的用户访问,从而提高系统的安全性。目前,随着Internet技术的迅猛发展,B/S模式的开发已经占据主流,基于J2EE平台的系统也日益增多。本文研究了目前得到广泛应用的J2EE平台下的基于角色(RBAC)的访问控制技术。基于角色的访问控制系统,是将用户划分为与其职能和职位相符合的角色,根据角色赋予相应的操作权限,以减少授权管理的复杂性,降低管理开销并且提供一个较好的实现复杂安全策略的环境。本文总结了目前信息系统中所采用的不同权限控制方式,并分析了这些权限系统所存在的问题,同时就J2EE平台下的外籍教师信息管理系统的特殊需求进行分析,在RBAC基础上进行了扩展,提出了SF-RBAC(Simple and Flexible-RBAC)模型。这一模型在为用户分配角色时添加了限制条件,并引入了用户类型,提高了系统的安全性和灵活性,减少了权限分配的复杂性。此模型能轻易的应用到其它信息系统中,对现在信息系统中的权限管理有现实意义和借鉴意义。最后在外籍教师信息管理系统中对此模型进行设计并实现。