随着互联网的飞速发展和普及,有效的安全访问控制机制是合理地使用系统信息、充分发挥信息系统作用的一个前提,而采用何种方法来组织、描述用户、资源、操作之间的关系是访问控制机制的关键,目前有多种访问控制方法都比较流行,例如基于用户／用户组的访问控制方法ACL (Access Control List)、基于角色的访问控制方法RBAC(Role-based Access Control)以及基于属性的访问控制方法ABAC(Attribute-based Access Control)等。但是由于各种原因,不同的应用系统可能采用不同的访问控制方法,因此针对具体的访问控制方法设计的授权管理系统往往是专用的,这给分布式交互带来了很大的局限性。如何同时支持不同的访问控制方法,如何对众多的、不同的资源进行统一、有效的授权策略管理以及如何利用可移植的、统一的方法和更丰富的词汇来描述访问控制内容等都是实际应用中面临的严重问题。针对以上问题,为了能在统一的授权管理系统下支持、扩展不同的访问控制方法,本研究提出一种集成统一的授权管理系统,它通过创建用户树、角色树、资源树和功能树实现了基于ACL的、基于角色的和基于属性的三种访问控制方法,以及通过引入可扩展的访问控制标记语言XACML,实现了一种能够表示复杂策略的、更通用的访问控制方法,并提供完整的在线授权决策流程。该系统由身份与权限数据库、身份与权限服务模块、身份与权限管理模块、授权决策模块和授权实施模块组成。身份与权限数据库是一个LDAP数据库,用于存储用户身份、用户组、角色、资源、功能和访问控制规则等信息。身份与权限服务模块,实现对身份与权限数据库的各种操作,并向身份与权限管理模块和授权决策模块提供本地和远程接口。身份与权限管理模块,是一个Web应用程序,主要提供用户信息、角色信息、资源信息以及包括ACL、RBAC和ABAC在内的多种访问控制策略的创建和管理功能。授权决策模块主要功能是对应用服务程序提交的授权决策请求做出响应,实现在线授权功能。授权实施模块采用过滤器的方式拦截用户的资源请求并发送到授权决策服务器进行决策。