Authentication 使用clientAuth=want的tomcat客户端身份验证
我的应用程序需要对特定URL进行客户端身份验证,在客户端身份验证成功后,应用程序本身也会对客户端证书主题进行一些验证(使用spring security x509筛选器)。我想将tomcat配置为强制对特定URL进行客户端身份验证(clientAuth=true),但基于这篇文章,我似乎无法仅使用tomcat- 我的问题是,如果我使用clientAuth=want,当服务器请求证书时,是否会出现以下情况:Authentication 使用clientAuth=want的tomcat客户端身份验证,authentication,tomcat,client,Authentication,Tomcat,Client,我的应用程序需要对特定URL进行客户端身份验证,在客户端身份验证成功后,应用程序本身也会对客户端证书主题进行一些验证(使用spring security x509筛选器)。我想将tomcat配置为强制对特定URL进行客户端身份验证(clientAuth=true),但基于这篇文章,我似乎无法仅使用tomcat- 我的问题是,如果我使用clientAuth=want,当服务器请求证书时,是否会出现以下情况: 如果设备具有身份证书,但不受tomcat truststoreFile中配置的CA的信任,
谢谢!您在1.和2.中的假设都是正确的。Tomcat将不允许不受信任或无效的证书进入您的应用程序。如果您获得的证书为空,则可以假定未传递任何证书,或者传递了不受信任/无效的证书
在我正在进行的项目中,我们有与您相同的要求:仅针对特定URL的客户端证书。我们通过实验了解了“clientAuth=want”的工作原理。谢谢您的回答