Gracias Shadoanwk por la informacion.

Si creo que lo mas correcto es hacerlo por modulos o componentes, y cifrar todas las comunicaciones por https, y de todas formas aunque se salten el login dentro de la aplicacion como tambien iria por webservices tampoco correria peligro ya que no me importa que se lo salten si luego no corren peligro los datos ni pueden extaer informacoin.
Me refiero que a cada llamada al webservices el internamente (el webservices no el enterno Flex) haria una pequeña validacion, de esta forma aunque cargaran el modulo principal sino saben el user y pass (o lo han podido coger de la pantalla de login) no podran hacer nada peligroso.
Por cierto muy interesante tu web de aprendiendoflex, me voy a registrar y estar atento a las novedades, y en lo que pueda aportar.

Un saludo.