認証・認可をどうしようか考え中です。
J2EE認証はないとして、認証はまあFilterかなんかで適当に作ればいいかなと思っています。
問題は、認可の方です。
生Strutsを使っているときは、struts-configのaction要素のrole属性を使って、RequestProcessorを継承してそのroleを見るようにしてました。ユーザがactionに指定してあるroleがある場合にはそのActionはOK。無ければ、エラー画面に飛ばすとということをしてました。
SAStrutsでも、同じようにやればいいやと思っていましたが、actionにroleを設定できません（S2Strutsはあったのですが）。
パスで機能が分かれるのでパスをロール代わりにしてもいいかもしれません。
1つのパスの中で使える機能が限定されると言うことは考えにくいので、それでいい気がします。
家に帰ったら一度コードを書いてみよう。