O sintoma é bastante simples: erro 403 - Forbidden, quando tentamos fazer login no servidor de desenvolvimento do App Engine, na URL /_ah/login.

No meu caso, demorei a lembrar que coloquei uma segurança contra ataques do tipo CSRF, através da tag:

<security:csrf />

Do Spring Security.

Pois bem, o resultado é que a página mock de login do App Engine não coloca um token CSRF (até porque essa página é gerada pelo App Engine, que é totalmente desacoplado do Spring Security) e, portanto, a autenticação não se completa, gerando um 403, que é a resposta padrão do Spring Security para quando o token anti-CSRF não está presente.

Para resolver de forma simples, desabilite a segurança contra CSRF no servidor de desenvolvimento. Não é o melhor cenário possível, mas acredito que o melhor custo x benefício.