通常系統(tǒng)出于安全考慮,需要進(jìn)行權(quán)限(賬號、密碼)和IP白名單控制。如何獲取訪問來源真實的IP,如果公司網(wǎng)絡(luò)入口設(shè)置負(fù)載,自己系統(tǒng)設(shè)置nginx代理等操作,會使你達(dá)到目的不那么簡單直接。
通常情況下我們使用request.getRemoteAddr()就可以獲取到客戶端ip,但是當(dāng)我們使用了nginx作為反向代理后,由于在客戶端和web服務(wù)器之間增加了中間層,因此web服務(wù)器無法直接拿到客戶端的ip,通過$remote_addr變量拿到的將是反向代理服務(wù)器的ip地址。如果我們想要在web端獲得用戶的真實ip,就必須在nginx這里作一個賦值操作,如下:
proxy_set_header X-real-ip $remote_addr;
其中這個X-real-ip是一個自定義的變量名,這樣用戶的真實ip就被放在X-real-ip這個變量里了,然后,在web端可以這樣獲取:request.getAttribute("X-real-ip")。但是如果中間經(jīng)過N次代理過來的請求,X-real-ip就只能獲得到前一層代理的IP(10.6.61.14)了,下面是我的解決方案:
紅色部分IP是使用X-Forwarded-For(簡稱XFF頭)獲取的:,它代表客戶端,也就是HTTP的請求端真實的IP,只有在通過了HTTP 代理或者負(fù)載均衡服務(wù)器時才會添加該項(沒有經(jīng)過的獲取為空)標(biāo)準(zhǔn)格式如下:
X-Forwarded-For: client1, proxy1, proxy2
從標(biāo)準(zhǔn)格式可以看出,X-Forwarded-For頭信息可以有多個,中間用逗號分隔,第一項為真實的客戶端ip,剩下的就是曾經(jīng)經(jīng)過的代理或負(fù)載均衡的ip地址,經(jīng)過幾個就會出現(xiàn)幾個。
我的Nginx具體配置如下:
關(guān)于參數(shù)含義:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
意思是增加(不是覆蓋)一個$proxy_add_x_forwarded_for到X-Forwarded-For里去。
舉個例子,有一個web應(yīng)用,在它之前通過了兩個nginx轉(zhuǎn)發(fā)。在第一臺nginx中,使用
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
現(xiàn)在的$proxy_add_x_forwarded_for變量的"X-Forwarded-For"部分是空的,所以只有$remote_addr,而$remote_addr的值是用戶的ip,于是賦值以后,X-Forwarded-For變量的值就是用戶的真實的ip地址了。
到了第二臺nginx,使用
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
現(xiàn)在的$proxy_add_x_forwarded_for變量,X-Forwarded-For部分包含的是用戶的真實ip,$remote_addr部分的值是上一臺nginx的ip地址,于是通過這個賦值以后現(xiàn)在的X-Forwarded-For的值就變成了“用戶的真實ip,第一臺nginx的ip”。
所以我在程序中使用request.getHeader("x-forwarded-for").toString().split(",")[0]就能獲取到訪問客戶的真實IP,不用擔(dān)心前面有幾層轉(zhuǎn)發(fā)啦。