自从1992年David Ferraiolo和Rick Juhn正式提出RBAC（Role-Based Access Control）模型以来，其以直观、完善、经济的特性迅速成为了软件各大领域的访问控制解决方案，RBAC 模型直接将企业管理特征映射到了权限管理，在解决企业和政府部门统一资源访问控制方面具有很大的优势，是企业信息系统中比较理想的访问控制模型。 针对核心RBAC模型在实际应用中存在的不足,提出一种对角色和用户混合授权的RBAC改进模型,在模型加入直接用户权限指派方便了临时授权,在角色和用户权限中分别设置优先级约束和继承约束避免了权限冲突,给出了模型的形式化描述与认证算法.针对RBAC模型抽象化、形式化及开发者难以理解的问题,基于UML对RBAC改进模型进行了静态和动态建模,缩短了理论安全模型和实际应用开发间的差距.对角色和用户混合授权的RBAC改进模型无需引入额外的冲突检测算法，就避免了角色、用户间的权限冲突；同时解决了临时授权管理繁琐的问题，有效弥补了核心RBAC模型仅依赖角色授权的不足和局限，提高了权限管理的严密性、灵活性和可维护性，也更符合国内企业的实际应用情况。 通过基于UML表述RBAC改进模型，使软件开发者更直观的理解RBAC模型和更易于建立基于角色的信息系统，该模型在基于Java EE的实际企业应用中取到了良好的效果， 同时其也具有一定的通用性，避免了企业应用中权限管理模块的重复开发。