今、企業内で少人数が使用するWEBアプリケーションをWebLogicで動かす前提で作ってますが、ユーザー認証についてどうしようかと要件を確認したところ、少人数使用のアプリなのでLDAP無し、WebLogicに登録・管理したくないのでWeblogicのレルムも使わないでとのこと。となると従来のDBにユーザーテーブル作ってユーザー管理画面とかも作る感じになります。
　ユーザーには数パターンあるうちの１つの権限を付与すれば使える画面と使えない画面が決まるので、基本的にURLで制御できる範囲です。で、いろいろ調べましたが、下記を参考にして、JASPIC(Java Authentication Service Provider Interface for Containers)というJavaEE7仕様に含まれているものを使ってみる事にしました。
http://arjan-tijms.omnifaces.org/2012/11/implementing-container-authentication.html
ここのSETP5にあるServerAuthModule実装のvalidateRequestに認証処理を書き込む形のようです。
下記のサンプルソースも参考になりました。
https://github.com/erik-wramner/YubikeyAuth/tree/master/yubi-jaspic-example

但し、WebLogicで動かす場合は、web.xmlにだけ設定すればよいだけでなく、weblogic.xmlにも同じような設定が必要みたいです。

web.xml

  <security-role>
    <description>管理者</description>
    <role-name>Managers</role-name>
  </security-role>
  <security-role>
    <description>利用者</description>
    <role-name>Users</role-name>
  </security-role>
  
  <security-constraint>
    <web-resource-collection>
      <web-resource-name>manager page</web-resource-name>
      <url-pattern>/manage/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
      <role-name>Managers</role-name>
    </auth-constraint>
  </security-constraint>

  <security-constraint>
    <web-resource-collection>
      <web-resource-name>user page</web-resource-name>
      <url-pattern>/user/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
      <role-name>Users</role-name>
    </auth-constraint>
  </security-constraint>

weblogic.xml

    <wls:security-role-assignment>
      <wls:role-name>Managers</wls:role-name>
      <wls:principal-name>Managers</wls:principal-name>
    </wls:security-role-assignment>
    
    <wls:security-role-assignment>
      <wls:role-name>Users</wls:role-name>
      <wls:principal-name>Users</wls:principal-name>
    </wls:security-role-assignment>

デプロイするとそのインスタンス全体に影響し、開発環境では管理サーバで動かしているので管理コンソールに入れなくなります。。