需求用户'；需要时，从java web应用程序获取x509证书

我的web应用程序根据用户的x509证书对用户进行身份验证
现在，我已经通过设置

“clientAuth=want”

为tomcat配置了相互身份验证。
但是，由于此证书交换发生在SSL握手阶段，因此我看到此方法存在以下限制：

部署在同一tomcat上的所有其他应用程序也会请求用户的证书，这可能不是必需的

每当向服务器发出第一个请求时，它可以是任何公共url，如css或img url，证书弹出窗口就会出现在用户的浏览器上

Javascript从任何其他应用程序的UI调用我的web应用程序， 在用户浏览器上导致此弹出窗口

一旦https会话建立，后续请求将包含 只有最终用户的证书，而不是整个链

有没有什么方法可以让我在应用程序需要时与浏览器协商并获得用户证书

非常感谢您的指点