我们正在创建一个在Tomcat中运行的服务器端Java应用程序，该应用程序分为两部分。第一部分是RESTful Web服务，我们需要clientAuth="true"。第二部分是基于Web的，我们需要clientAuth="false"。基于Web的部分将仅使用登录凭据来确保安全。

在Tomcat中，在clientAuth中设置server.xml参数是如何控制Tomcat是否在客户端请求期间强制执行SSL。

我的问题是是否可以仅将某些URL路径的clientAuth设置为true？

失败了，当ServletRequest设置为clientAuth时，是否有任何方法可以迫使Tomcat将X509证书放入false？

在堆栈溢出here和here上已经问过类似的问题。

如果这两个作为单独的Web应用程序存在，则可以定义两个连接器，每个连接器具有单独的clientAuth设置。但是为了限制通过Web服务端口访问Web应用程序；您将必须使用负载平衡器或代理来完成。