Web 中的安全约束.xml适用于没有角色成员身份的经过身份验证的用户

我很绝望，因为我认为我的问题必须有一个简单的解决方案，但我正在寻找 - 无济于事。

我在Glassfish 3.1.1中使用了自定义领域。此自定义领域（实现 AppservPasswordLoginModuleInterface）从 HTTPS 请求中获取安全令牌，验证安全令牌，然后将用户返回到 Glassfish。

问题在于安全令牌不包含任何组，这意味着方法 public String[] getGroupsList（） 或自定义领域返回一个空列表（正确，因为安全令牌中没有角色）。

也就是说，我希望有一个只有经过验证的用户才能登录的安全禁忌。我知道我可以在Web中使用以下约束.xml：

<security-constraint>
  <web-resource-collection>
    <web-resource-name>mywebapp</web-resource-name>
    <url-pattern>/*</url-pattern>
  </web-resource-collection>
  <auth-constraint>
    <role-name>Users</role-name>
  </auth-constraint>
</security-constraint>

但是，由于我没有任何组，因此我无法将任何组映射到角色，因此我无法将身份验证约束与角色名称一起使用。

在web.xml中，有没有办法定义只允许经过身份验证的用户，忽略他们担任的角色，忽略他们是否在任何角色中。

有几个解决方案我无法实现：

• 我无法更改基础 LDAP 以包含角色，因为 LDAP 架构以及 LDAP 用户映射到安全令牌的方式超出了范围。
• 我必须使用当前的自定义领域处理程序，我不能用我自己的一个只返回默认组的处理程序替换它。我确实尝试过一次，并且它有效。但是我不能用我自己的自定义领域替换现有的自定义领域，因为自定义领域应该是通用的。

但我真的认为在Web中应该有一种方法.xml只是说：忽略所有组和角色，我只想要一个经过身份验证的用户？

任何帮助将不胜感激。