Le guest et l'user ne sont qu'une même entitée, ce sont des utilisateurs, l'un est loggué, l'autre pas.
Lors de la connexion, il faut juste que l'user passe de offline à online.

Une classe générique WebService gérant la sécurité etc. réutilisable et une classe propre à ton application qui étend la première et qui propose toutes tes méthodes (je suis pas fan d'une classe qui connaît tout comme ça mais pourquoi pas ^^).

Ta proposition de code est meilleure (à mon goût) que celles d'au dessus. Tu vas juste avoir un problème au niveau du constructeur puisque tes paramètres sont différents de ceux de ta classe parente.
Pourquoi ne pas utiliser une session (ou un objet équivalent) pour gérer ta connexion ?

Pour tes droits d'accès, pourquoi n'utilises tu pas les ACLs ? Ca te permettrait d'avoir quelque chose de beaucoup plus évolutif et de pouvoir gérer tes droits dans ta base de données ou dans un fichier depuis une interface graphique.
Tu définies les ressources, les rôles et les droits qui les unissent. C'est fastidieux au départ mais une fois mis en place, tu peux tout gérer et c'est évolutif sans retoucher au code.
Si tu veux un truc tout fait, regarde du côté de Zend_Acl qui est un composant bien foutu et efficace (surtout couplé au caching).


Voila voila ça ne reste que des idées