我得出结论,仅使用Tomcat和jsp/servlets是不可能使Web应用程序的一部分请求客户端证书身份验证的。要么整个Tomcat服务器每次到处都要求用户证书(clientAuth true或want),要么web.xml授权设置对于此场景无用。
是否有框架、应用服务器或某些特定的可靠架构可用于实现此要求?我想到了可能会有一个专门用于相互SSL认证的单独服务器实例,重定向用户并转发会话参数,但这种选择似乎管理起来相当复杂。我敢打赌有类似的解决方案,只是想知道是否有一些参考实现、指南等...谢谢。