正直、普通にHTTPサーバー側で制御しろという話なのだが...... web.xmlにこんな感じに security-constraint を2つ用意した上で必要なものをBASIC認証のレルムから外す事でできる。 <security-constraint> <web-resource-collection> <web-resource-name>no auth</web-resource-name> <url-pattern>/sample.html</url-pattern> <url-pattern>/hoge/*</url-pattern> </web-resource-collection></security-constraint>