在信息技术飞速发展的今天，企业的信息平台也越来越倚重网络，而Java Web应用系统也逐渐成为企业处理日常业务的中心平台。在Web系统的开发过程中，Web系统的访问控制尤其是Web页面资源的访问控制有相当大部分都是反复重复编写的，而且在编写过程中网页设计人员和安全管理员的工作始终都是互相关联的，无法实现独立工作，目前也还没有关于在Web页面中集成多种安全策略方面的权威研究。虽然行业中出现了很多安全开发框架，但是都存在诸如控制粒度不够细化，无法实现页面的设计与控制管理的解耦合，不支持多安全策略等问题。建立了基于策略属性的访问控制模型PA-BAC(Policy Attribute Based AccessControl)，将访问控制策略以属性的形式关联到网页的细粒度访问客体的策略属性上，并使该模型支持多安全策略。提出了视图控制的概念，制定了多安全策略情况下的决策规则，并且针对PA-BAC在实际应用上的考虑给出了模块机制。最后，在基于策略属性的访问控制模型的基础上对模型进行模块化并最终实现了一个具有安全功能的Struts标签库插件。开发Java Web应用系统时，可以在系统中直接导入该插件，系统的使用者只要进行便捷的配置，即可实现针对不同的访问主体的所见即所得功能。