随着跨域联盟技术的发展，越来越多的Web应用系统被移植到跨域联盟以支持联盟用户访问。由此，Web应用系统对于联盟用户的访问控制和授权成为跨域联盟需要研究的基本问题之一。　　 不同于只支持小范围、可管理用户访问的Web应用系统，联盟Web应用系统被要求支持联盟统一认证，同时具有访问用户非本地化管理、授权机制各不相同的特点。但是，目前的跨域联盟系统更多地关注于认证功能，对于应用系统授权的支持仅限于为应用系统提供用户属性，应用授权研究相对较少。　　 本文对现有Web应用进行了分类调研，结合联盟授权需求，提出了基于可替换角色模型的联盟Web应用系统授权框架(FedAuthz)。该框架具有如下特点：　　 1.采用可替换的角色层次结构和可配置的授权策略来适应不同应用的授权需求，支持联盟认证接口，使得跨域联盟内部能够建立起统一的授权机制，同时保持应用授权策略的相对独立性。　　 2.支持丰富的Web应用表示方式，特别是对动态Web应用的权限单元进行了多粒度的细致划分，而不仅仅是以URL或目录结构作为划分单元。使得动态Web应用的授权成为可能。　　 3.采用基于角色的授权，并定义了系统内的用户和权限的表达，同时分离了角色映射和角色授权过程，使得Web应用的接入方式更加灵活。　　 FedAuthz联盟应用授权模型是一个可支持各种应用的完整框架，它的出现使得应用系统接入跨域联盟拥有了灵活的中间件支持，即可支持现有应用系统升级为支持联盟用户访问，又可方便联盟新应用系统在授权方面的灵活开发，减轻了授权接入和应用开发的复杂度，跨域联盟规模扩大和深入发展具有重要的意义。　　 以FedAuthz框架为基础，论文设计并实现了原型系统，并以北京大学ITS网络服务系统和CARSI项目组内容管理系统为例，对该框架进行了验证。