首先,听起来像是您想要的,
clientAuth=want而不是
clientAuth=true:它将允许客户端提供证书,但并非绝对需要证书。
当您使用任何形式的身份验证时,Tomcat(或与此相关的任何servlet容器)必须能够从中构建一个
Principal对象-
具有名称(通常是用户名)的对象。然后,容器必须决定用户具有什么角色才能正确 授权 特定请求。因此,Tomcat将需要事先了解用户才能使授权工作。
另一方面,如果不需要任何授权,则可以设置
clientAuth=want然后使用
Filter来验证证书。
CLIENT-CERT如果您已经在进行自己的检查,则无需使用身份验证。
