1、一種Session?ID全透明傳遞的ISAPI訪問控制系統，它包括四個組成部分：

ISAPI訪問控制過濾器：負責進行訪問控制的授權實施，當用戶通過瀏覽器訪問部署在IIS服務器上的Web應用系統時，該訪問控制過濾器攔截HTTP請求和響應，進行用戶身份鑒別、訪問控制授權實施以及用戶Session?ID(Session標識)的傳遞；

Session維護引擎：負責為每一個Web服務訪問用戶創建一個Session對象并產生相應Session?ID，從身份與權限管理系統獲取用戶身份信息填充Session對象，將用戶其他狀態信息保存到Session對象，以及提供Session信息、身份信息的查詢，刪除超時不用的Session對象等；

授權決策引擎：根據用戶的身份和權限信息及資源訪問控制策略，對用戶訪問資源的請求進行授權決策；

身份與權限管理系統：保存、維護用戶的身份信息、資源的訪問控制策略，并提供用戶身份信息及資源訪問控制策略的查詢服務。

2、根據權利要求1所述的一種Session?ID全透明傳遞的ISAPI訪問控制系統，其特征在于：按如下步驟實施訪問控制功能：

第一步驟：用戶訪問IIS服務器上部署的Web應用系統；

第二步驟：ISAPI訪問控制過濾器響應SF_NOTIFY_PREPROC_HEADERS事件通知，攔截HTTP請求頭部，根據請求URL中是否包含有效的SessionID、身份鑒別信息以及當前URL指向，對用戶類別進行判斷，然后根據不同用戶類別分別轉入第三、第四或第五步驟；

第三步驟：對未鑒別用戶，即初次登錄Web應用系統的用戶，ISAPI訪問控制過濾器首先請Session維護引擎創建用戶Session對象并返回Session?ID，接下來將用戶HTTP請求重定向到登錄頁面，之后向攔截HTTP響應消息數據的ISAPI過濾器回調函數傳送與Session?ID傳遞有關的控制信息，然后退出；

第四步驟：對等待鑒別用戶，即未鑒別但正通過登錄頁面提交身份鑒別信息的用戶，ISAPI訪問控制過濾器轉入用戶身份鑒別處理，對于鑒別未通過的用戶，則將其HTTP請求重定向到登錄頁面，之后向攔截HTTP響應消息數據的ISAPI過濾器回調函數傳送與Session?ID傳遞有關的控制信息，然后退出；對于鑒別通過的用戶，繼續后續步驟；

第五步驟：對已鑒別用戶，ISAPI訪問控制過濾器請求授權決策引擎進行授權決策，請求中有用戶Session?ID、要訪問的資源URL及訪問方法；

第六步驟：對于ISAPI訪問控制過濾器提交的授權決策請求，授權決策引擎從Session維護引擎查詢該用戶是否是有效的已鑒別用戶并獲取所需的用戶信息，然后根據用戶身份、用戶權限以及相應的訪問控制策略，決定是否允許用戶訪問有關的資源，之后將授權決策結果返回給ISAPI訪問控制過濾器；

第七步驟：ISAPI訪問控制過濾器依授權決策引擎的授權決策結果對用戶HTTP請求進行訪問控制授權實施，之后向攔截HTTP響應消息數據的ISAPI過濾器回調函數傳送與Session?ID傳遞有關的控制信息，然后退出；

第八步驟：IIS服務器將ISAPI訪問控制過濾器處理后的HTTP請求提交給Web應用系統，Web應用系統完成用戶請求處理后返回響應結果；

第九步驟：ISAPI訪問控制過濾器響應每個SF_NOTIFY_SEND_RAW_DATA事件通知，依次攔截每個HTTP響應消息數據塊，若攔截的是第一個響應消息數據塊，即僅包含響應消息頭部的數據塊，則ISAPI訪問控制過濾器設定與Session?ID傳遞有關的控制信息；若攔截的是后續響應消息數據塊，即響應消息主體數據塊，ISAPI訪問控制過濾器對塊中所有指向本地的URL鏈接進行重寫，加入用戶Session?ID信息，然后退出；

第十步驟：應用服務系統完成響應結果發送后，ISAPI訪問控制過濾器響應SF_NOTIFY_END_OF_NET_SESSION事件通知，不做任何處理，立即退出。