在JSP里,獲取客戶端的IP地址的方法是:request.getRemoteAddr(),這種方法在大部分情況下都是有效的。但是在通過(guò)了Apache,Squid等反向代理軟件就不能獲取到客戶端的真實(shí)IP地址了。
如果使用了反向代理軟件,將
http://192.168.1.110:2046/ 的URL反向代理為
http://www.xxx.com/ 的URL時(shí),用
request.getRemoteAddr()方法獲取的IP地址是:127.0.0.1 或
192.168.1.110,而并不是客戶端的真實(shí)IP。
經(jīng)過(guò)代理以后,由于在客戶端和服務(wù)之間增加了中間層,因此服務(wù)器無(wú)法直接拿到客戶端的IP,服務(wù)器端應(yīng)用也無(wú)法直接通過(guò)轉(zhuǎn)發(fā)請(qǐng)求的地址返回給客戶端。但是在轉(zhuǎn)發(fā)請(qǐng)求的HTTP頭信息中,增加了X-FORWARDED-FOR信息。用以跟蹤原有的客戶端IP地址和原來(lái)客戶端請(qǐng)求的服務(wù)器地址。當(dāng)我們?cè)L問(wèn)http://www.xxx.com/index.jsp/ 時(shí),其實(shí)并不是我們?yōu)g覽器真正訪問(wèn)到了服務(wù)器上的index.jsp文件,而是先由代理服務(wù)器去訪問(wèn)http://192.168.1.110:2046/index.jsp ,代理服務(wù)器再將訪問(wèn)到的結(jié)果返回給我們的瀏覽器,因?yàn)槭谴矸?wù)器去訪問(wèn)index.jsp的,所以index.jsp中通過(guò)request.getRemoteAddr()的方法獲取的IP實(shí)際上是代理服務(wù)器的地址,并不是客戶端的IP地址。
于是可得出獲得客戶端真實(shí)IP地址的方法一:
public String getRemortIP(HttpServletRequest request) {
if (request.getHeader("x-forwarded-for") == null) {
return request.getRemoteAddr();
}
return request.getHeader("x-forwarded-for");
可是,如果通過(guò)了多級(jí)反向代理的話,X-Forwarded-For的值并不止一個(gè),而是一串Ip值,究竟哪個(gè)才是真正的用戶端的真實(shí)IP呢?
答案是取X-Forwarded-For中第一個(gè)非unknown的有效IP字符串。
如:
X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100
用戶真實(shí)IP為: 192.168.1.110