• 经过Nginx代理后如何区分HTTP请求头中的X-Forwarded-For和X-Real-IP,以及Java示例


    在开发工作中,我们常常需要获取客户端的IP。一般获取客户端的IP地址的方法是:request.getRemoteAddr();但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了。

    原因:由于在客户端和服务之间增加了中间代理,因此服务器无法直接拿到客户端的IP,服务器端应用也无法直接通过转发请求的地址返回给客户端。

    现在图示代理上网和IP的关系:

     

    第一种情况:不通过代理上网,服务器端拿到真实IP

     

    第二种情况:通过代理服务器如:Nginx,Squid等一层代理或多层代理上网,如下图:

     

    需要注意的是X-Forwarded-For和X-Real-IP都不是http的正式协议头,而是squid等反向代理软件最早引入的,之所以resin能拿到,是因为NGINX里一般缺省都会这么配置转发的http请求:

    location / {
    
             proxy_pass       http://yourdomain.com;
    
             proxy_set_header   Host             $host;
    
             proxy_set_header   X-Real-IP        $remote_addr;
    
             proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
    
    }

    经过多层代理后,我们会发现X-Forwarded-For是一个可叠加的过程,后面的代理会把前面代理的IP加入X-Forwarded-For,类似于python的列表append的作用.

    就是这样

    X-Forwarded-For:192.168.1.2, 192.168.1.3, 192.168.1.n

    从X-Forwarded-For的定义来看,ips[0]才是原始客户端ip,如果这个都不是,那拿第二个就更不靠谱了,我们平时检验的时候,可能是直接在内网挂代理去访问的,跟外面网友访问经过的网络路径不一样,后面不停添加的是经过的每一层代理ip才对,下面举例说明;

    request.getRemoteAddr() 192.168.239.196
    
    request.getHeader("X-Forwarded-For") 58.63.227.162, 192.168.237.178, 192.168.238.218
    
    request.getHeader("X-Real-IP") 192.168.238.218

    所以访问的流程应该是这样,客户端58.63.227.162发出请求,经过192.168.237.178, 192.168.238.218两层转发,到了192.168.239.196这台NGINX上,NGINX就把X-Real-IP头设成了自己看到的remote_addr,也就是直接发给到他的192.168.238.218,这时候resin收到这个包,对resin来说直接发给他的remote_addr就是NGINX的ip,也就是192.168.239.196,那么resin里面的request.getRemoteAddr()就是192.168.239.196,那么在resin里拿最原始的ip逻辑(也就是拿能够知道的最外层的ip)应该是这样

    1. 如果XFF不为空,拿XFF的左边第一个
    2. 如果XFF为空,拿XRI
    3. 如果XRI为空,只能拿request.getRemoteAddr(),也就是只能拿到最直接发给他的机器ip了

    也可以发现 ,如果只有一层代理,X-Forwarded-For和X-Real-IP这两个头的值就是一样的

    其他都不可考究,参考Java代码如下:

    第一种代码:

    复制代码
          /**
          * 从Request对象中获得客户端IP,处理了HTTP代理服务器和Nginx的反向代理截取了ip
          * @param request
          * @return ip
          */
        public static String getLocalIp(HttpServletRequest request) {
            String remoteAddr = request.getRemoteAddr();
            String forwarded = request.getHeader("X-Forwarded-For");
            String realIp = request.getHeader("X-Real-IP");
    
            String ip = null;
            if (realIp == null) {
                if (forwarded == null) {
                    ip = remoteAddr;
                } else {
                    ip = remoteAddr + "/" + forwarded.split(",")[0];
                }
            } else {
                if (realIp.equals(forwarded)) {
                    ip = realIp;
                } else {
                    if(forwarded != null){
                        forwarded = forwarded.split(",")[0];
                    }
                    ip = realIp + "/" + forwarded;
                }
            }
            return ip;
        }
    复制代码

    第二种代码:

    复制代码
     1      public static String getIp(HttpServletRequest request) {
     2         String remoteAddr = request.getRemoteAddr();
     3         String forwarded = request.getHeader("X-Forwarded-For");
     4         String realIp = request.getHeader("X-Real-IP");
     5 
     6         String ip = null;
     7         if (realIp == null) {
     8             if (forwarded == null) {
     9                 ip = remoteAddr;
    10             } else {
    11                 ip = remoteAddr + "/" + forwarded;
    12             }
    13         } else {
    14             if (realIp.equals(forwarded)) {
    15                 ip = realIp;
    16             } else {
    17                 ip = realIp + "/" + forwarded.replaceAll(", " + realIp, "");
    18             }
    19         }
    20         return ip;
    21     }
    复制代码

    第三种代码:

    复制代码
     1        public static String getIp2(HttpServletRequest request) {
     2            String ip = request.getHeader("X-Forwarded-For");
     3            if(StringUtils.isNotEmpty(ip) && !"unKnown".equalsIgnoreCase(ip)){
     4                //多次反向代理后会有多个ip值,第一个ip才是真实ip
     5                int index = ip.indexOf(",");
     6                if(index != -1){
     7                    return ip.substring(0,index);
     8                }else{
     9                    return ip;
    10                }
    11            }
    12            ip = request.getHeader("X-Real-IP");
    13            if(StringUtils.isNotEmpty(ip) && !"unKnown".equalsIgnoreCase(ip)){
    14                return ip;
    15            }
    16            return request.getRemoteAddr();
    17        }
    复制代码

    第三种是最合适的,最清晰理解的。

    最后,为什么推荐使用X-Forwarded-For而不是X-Real-IP,虽然有时它们的值是一样的

    获取真实ip之所以通用X-Forwarded-For:
    1. 他在正向(如squid)反向(如nginx)代理中都是标准用法,而正向代理中是没有x-real-ip相关的标准的,也就是说,如果用户访问你的 nginx反向代理之前,还经过了一层正向代理,你即使在nginx中配置了x-real-ip,取到的也只是正向代理的IP而不是客户端真实IP
    2. 大部分nginx反向代理配置文章中都没有推荐加上x-real-ip ,而只有x-forwarded-for,因此更通用的做法自然是取x-forwarded-for
    3. 多级代理很少见,只有一级代理的情况下二者是等效的
    4. 如果有多级代理,x-forwarded-for效果是大于x-real-ip的,可以记录完整的代理链路

  • 相关阅读:
    菜鸟之旅——序章0
    Nginx设置反向代理内网服务器/内部端口
    Laradock ppa加速
    Qt setGraphicsEffect出现崩溃 读取位置 时发生访问冲突
    3.5tensorflow线性回归和线性拟合
    Dockerfile Security Best Practice
    Docker: Exec user process caused "no such file or directory"
    Installing Kubernetes with kops
    Dockerfile 最佳实践
    Configuring HSTS in NGINX
  • 原文地址:https://www.cnblogs.com/shamo89/p/9311860.html
Copyright © 2020-2023  润新知