Стоит задачи обеспечения ограничения доступа к сервисам. Приложение реализовано в виде двух отдельных модулей - Веб-слоя и слоя сервисов. Кроме того, сервисные методы могут использоваться диспетчером, выполняющим запросы внешними системами через интерфейс с использованием XML. Доступ к методам сервисов необходимо предоставлять/ограничивать исходя из:
1. адреса (IP) клиента (требуется его передача с Веб-сервера на внутренний сервер приложений),
2. привилегий пользователя (получаются из БД на основе авторизации в Веб-слое или имени/пароля в XML запросе, опять же - реально будет/должен проверяться на сервере приложений).

Приложение использует Spring (IoC, управление транзакциями) и Hibernate. Для вызова сервисных методов используем Spring HttpInvoker (хотя не принципиально, но желательно использовать именно его).
Самое первое решение, которое напрашивается - передавать первым параметром защищаемым методам некий контекст запроса, который будет использоваться интерцепторами для проверки привелегий для вызова конкретного метода сервиса. Но это потянет переработку значительного количества методов.
Возможные иные решения - что-то вроде надстройки над HttpInvoker-ом (или другим механизмом) для передачи информации о привилегиях на сервер, и использование АОП для управления доступом. Вот здесь и хотелось бы узнать что именно можно сделать и какими средставми.

Не уверен, SSO - то ли что мне надо,а вот сможет ли поддержка Acegi у Spring обеспечить то, что мне нужно? Или это только предположение?

Спасибо за ответ. Действительно, поддержка Acegi в Spring даст то, что нужно. Хотя не совсем ясно каким образом функционирует SSO в окружении, где приложение функционирует на двух серверах (Web и App). Буду копать дальше.