Поставлена задача ограничить доступ к вызовам бизнес-методов и ресурсам сервака (JNDI, Connection Pool'ы и пр.).

Что дано: EJB, Spring, WebLogic, EJBGen'овские тэги. Ну и Java собсно.

Текущие мысли таковы.
Для ограничения на вызовы методов достаточно прописать перед методами тэги
@ejbgen:role-mapping и @ejbgen:security-role-ref,
а там EJBGen все за нас сам сделает.
А ресурсы JNDI и прочее будем ограничивать через консоль админа WebLogic'а.

Вопрос: надо ли придумывать что-то для Spring (подключать фреймворк Acegi или подобное)?
Ну и вообще, какие советы и пожелания, в чем не прав?