En flex, es bastante jodido el saltarse un cambio de estado por fuera, si eso lo que temes. De todos modos lo mejor es que el login tras efectuarse en el servidor y ser positivo, NO devuelva un si/no o un 1/0, sino que devuelva una instancia de objeto que contenga varias keys a casar, por ejemplo:
timestamp del servidor y casarlo con el timestamp del cliente, desde que se inició la petición hasta que se devolvió por si se pausó por medio o se quiere simular solo una parte del camino
cadena con clase a instanciar en flex por reflexión que recogerá por parámetros en su constructor dicho timestamp y alguna key de operación aleatoria del servidor
la key aleatoria, la cual la usará la clase dinámica para realizar una llamada de autenticación contra un servicio en todo el tiempo de operación. Es decir como session_id, pero puedes mantener una lista de clientes conectados con información importante, permitiendote esto el entrar o no, dado que esa clase dinámica es la que realmente cambia de estado el cliente flex cuando obtiene el ok del servidor con los datos del user logueado.
Así puedes seguir complicandolo tanto como quieras, la idea es que de algun modo sea el servidor el que cambie el estado de la aplicación y no el cliente.
Pero insisto, es un pelin paranoico esto, usando set credentials y una buena politica de states en flex suele ser suficiente
Un saludo...