我们正在创建一个在Tomcat中运行的服务器端Java应用程序,它有两个部分。第一部分是RESTful Web服务,我们想要clientAuth="true"。第二部分是基于网络的,我们想要clientAuth="false"。基于Web的部分将仅使用登录凭据来保证安全。
在Tomcat中,在clientAuth中设置server.xml参数是如何控制Tomcat是否在客户端请求期间强制执行SSL。
我的问题是,是否可以将clientAuth设置为仅true某些网址路径?
失败了,当ServletRequest设置为clientAuth时,有没有办法强制Tomcat将X509证书放入false?
答案 0 :(得分:1)
如果这两个作为单独的Web应用程序存在,您可以定义两个连接器,每个连接器具有单独的clientAuth设置。但是限制通过Web服务端口访问Web应用程序;你必须使用负载均衡器或代理来完成它。