通常系統出于安全考慮,需要進行權限(賬號、密碼)和IP白名單控制。如何獲取訪問來源真實的IP,如果公司網絡入口設置負載,自己系統設置nginx代理等操作,會使你達到目的不那么簡單直接。
通常情況下我們使用request.getRemoteAddr()就可以獲取到客戶端ip,但是當我們使用了nginx作為反向代理后,由于在客戶端和web服務器之間增加了中間層,因此web服務器無法直接拿到客戶端的ip,通過$remote_addr變量拿到的將是反向代理服務器的ip地址。如果我們想要在web端獲得用戶的真實ip,就必須在nginx這里作一個賦值操作,如下:
proxy_set_header X-real-ip $remote_addr;
其中這個X-real-ip是一個自定義的變量名,這樣用戶的真實ip就被放在X-real-ip這個變量里了,然后,在web端可以這樣獲取:request.getAttribute("X-real-ip")。但是如果中間經過N次代理過來的請求,X-real-ip就只能獲得到前一層代理的IP(10.6.61.14)了,下面是我的解決方案:
紅色部分IP是使用X-Forwarded-For(簡稱XFF頭)獲取的:,它代表客戶端,也就是HTTP的請求端真實的IP,只有在通過了HTTP 代理或者負載均衡服務器時才會添加該項(沒有經過的獲取為空)標準格式如下:
X-Forwarded-For: client1, proxy1, proxy2
從標準格式可以看出,X-Forwarded-For頭信息可以有多個,中間用逗號分隔,第一項為真實的客戶端ip,剩下的就是曾經經過的代理或負載均衡的ip地址,經過幾個就會出現幾個。
我的Nginx具體配置如下:
關于參數含義:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
意思是增加(不是覆蓋)一個$proxy_add_x_forwarded_for到X-Forwarded-For里去。
舉個例子,有一個web應用,在它之前通過了兩個nginx轉發。在第一臺nginx中,使用
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
現在的$proxy_add_x_forwarded_for變量的"X-Forwarded-For"部分是空的,所以只有$remote_addr,而$remote_addr的值是用戶的ip,于是賦值以后,X-Forwarded-For變量的值就是用戶的真實的ip地址了。
到了第二臺nginx,使用
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
現在的$proxy_add_x_forwarded_for變量,X-Forwarded-For部分包含的是用戶的真實ip,$remote_addr部分的值是上一臺nginx的ip地址,于是通過這個賦值以后現在的X-Forwarded-For的值就變成了“用戶的真實ip,第一臺nginx的ip”。
所以我在程序中使用request.getHeader("x-forwarded-for").toString().split(",")[0]就能獲取到訪問客戶的真實IP,不用擔心前面有幾層轉發啦。