Talvez a melhor solução pra isso seja criar um interceptor que checa se o módulo está habilitado.

Agora minha dúvida, deveria retornar 403 ou 404? :p

@daniloqueiroz
Acredito que seja forbidden. Mas alguma luz aí após a ida pra gringa? Vide http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.4

Hum... olhando sua referência, parece que 403 é exatamente o que queremos. Mas acho que em outros casos estamos usando o 403 de forma errada, quando deveria ser 401. E acho que é preciso checar no ctpx.

Verdade. Se puder comentar onde podemos estar usando o 403 ao invés do 401 seria bom. Isso seria no ctpx ou no figgo mesmo?

No ctpx... O controllers tem um método "forbidden(template)" e os AbstractAuthInterceptor chama ele. Deveria adicionar um "unauthorized" e alterar o interceptor pra chamar ele ao invés de unauthorized quando o usuário não tiver autenticado. Se o usuário tiver autenticado mas não tiver permissão, deve ser 403 mesmo.