今天帮兄弟项目搞了一个获取客户端真实IP的问题,网上这种问题很多,但是对于我们的场景都不太合用,现把我的解决方案share给大家,如有问题,请及时指出。
场景:
在请求到达后端服务之前,会经过层层代理的转发。
一般的解决方案:
proxy_set_header Host $host;
proxy_set_header X-real-ip $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
后端服务获取客户端真实IP的方法:
request.getAttribute("X-real-ip")
现象:
后端服务获取到的IP并不是客户端真实IP,而是某一级代理的IP。
分析:
从CDN开始,每经过一个代理做一次转发,x_forwarded_for就会在后面追加一个代理IP。请求到达nginx时,x_forwarded_for已经变成一个以逗号分隔的ip串,并且以转发顺序排序。
nginx的内置变量remote_addr仅能代表nginx的上一层代理的IP,现有的nginx配置将该值赋给X_Real_Ip,那么后端获取到的X_Real_Ip也是nginx上一层代理的IP,而不是客户端真实IP。
解决方案:
x_forwarded_for中的IP串,第一个IP即可代表客户端真实IP,因此可在nginx上对x_forwarded_for做一个正则匹配,获取第一个逗号之前的IP赋值给X-real-ip,从而达到不需要修改应用即可获取客户端真实IP的目的。
示例配置如下:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
set $Real $http_x_forwarded_for;
if ( $Real ~ (d+).(d+).(d+).(d+),(.*) ){
set $Real $1.$2.$3.$4;
}
proxy_set_header X-Real-Ip $Real;