获得真实的Ip

request方法客户端IP: request.getRemoteAddr() 输出：192.168.0.106

客户端主机名：request.getRemoteHost()输出：abc

request.getHeader(“Host”) 输出：192.168.0.1：8080

Web服务器名字：request.getServerName()输出：192.168.0.1

服务器监听的端口：request.getServerPort()输出：8080

在JSP里，获取客户端的IP地址的方法是：request.getRemoteAddr（），这种方法在大部分情况下都是有效的。

但是在通过了 Apache，Squid等反向代理软件就不能获取到客户端的真实IP地址了。

如果使用了反向代理软件，用 request.getRemoteAddr（）方法获取的IP地址是：127.0.0.1或 192.168.1.110，而并不是客户端的真实IP。

经过代理以后，由于在客户端和服务之间增加了中间层，因此服务器无法直接拿到客户端的 IP，服务器端应用也无法直接通过转发请求的地址返回给客户端。

但是在转发请求的HTTP头信息中，增加了X－FORWARDED－FOR信息。用以跟踪 原有的客户端IP地址和原来客户端请求的服务器地址。

当我们访问index.jsp/时，其实并不是我们浏览器真正访问到了服务器上的index.jsp 文件，而是先由代理服务器去访问index.jsp ，

代理服务器再将访问到的结果返回给我们的浏览器，因为是代理服务器去访问index.jsp的，

所以index.jsp中通过 request.getRemoteAddr（）的方法获取的IP实际上是代理服务器的地址，并不是客户端的IP地址。

于是可得出获得客户端真实IP地址 的方法一：

public String getRemortIP(HttpServletRequest request) {

if (request.getHeader(“x-forwarded-for”) == null) {

return request.getRemoteAddr();

}

return request.getHeader(“x-forwarded-for”);

}

获得客户端真实IP地址的方法二：

public String getIpAddr(HttpServletRequest request) {

String ip = request.getHeader(“x-forwarded-for”);

if(ip == null || ip.length() == 0 || “unknown”.equalsIgnoreCase(ip)) {

ip = request.getHeader(“Proxy-Client-IP”);

}

if(ip == null || ip.length() == 0 || “unknown”.equalsIgnoreCase(ip)) {

ip = request.getHeader(“WL-Proxy-Client-IP”);

}

if(ip == null || ip.length() == 0 || “unknown”.equalsIgnoreCase(ip)) {

ip = request.getRemoteAddr();

}

return ip;

}

可是，如果通过了多级反向代理的话，X-Forwarded-For的值并不止一个，而是一串IP值，

究竟哪个才是真正的用户端的真实IP呢？答案是取 X-Forwarded-For中第一个非unknown的有效IP字符串。

如： X-Forwarded-For：192.168.1.110， 192.168.1.120， 192.168.1.130， 192.168.1.100 用户真实IP为： 192.168.1.110

详细的解释

最近在研究nginx中如何获取真实客户端IP的方法。众所周知，在编译Nginx时，可通过添加http_realip_module模块来获取真实客户端IP地址。何为真实IP地址呢？请看下图，既获取到的真实客户端IP是101，既不是正向代理服的104，也不是反向代理的105。

 

我们以PHP为例来说明整个过程吧。

前期准备：

在/home/apps/realip.com/下新建index.php：

<?php

foreach($_SERVER as $k=>$v)

echo $k . '=' . $v . '<br />';

 

修改104, 105, 106的nginx.conf的log格式为：

log_format  main  'remote_addr=$remote_addr:$remote_port, http_x_forwarded_for=$http_x_forwarded_for, proxy_add_x_forwarded_for=$proxy_add_x_forwarded_for ';

 

场景一（最简单的场景）：

 

在106上的/etc/nginx/conf.d目录里，新建realip.com.conf，内容如下。

upstream realip {

    server 127.0.0.1:9100;

} 

server {

    listen       80;

    server_name  realip.com;

    access_log  /var/log/nginx/realip.com.access.log main;

    error_log  /var/log/nginx/realip.com.error.log error;

    location / {

        root   /home/apps/realip.com/;

        index  index.php;

    }

    error_page   500 502 503 504  /50x.html;

    location = /50x.html {

        root   /usr/share/nginx/html;

    }

    location ~ \.php$ {

        root           /home/apps/realip.com/;

        fastcgi_pass   realip;

        fastcgi_index  index.php;

        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

        include        fastcgi_params;

    }

    location ~ /\.ht {

        deny  all;

    }

}

 

同时修改fastcgi_params文件确保有以下两行：

fastcgi_param  REMOTE_ADDR        $remote_addr;

fastcgi_param HTTP_X_FORWARDED_FOR $proxy_add_x_forwarded_for;

 

在客户机101上做host:

192.168.1.106 realip.com

 

在客户机上打开浏览器访问http://realip.com，看到的结果是：

REMOTE_ADDR=192.168.1.101

HTTP_X_FORWARDED_FOR=192.168.1.101

 

106上的Nginx log是：

remote_addr=192.168.1.101:23350, http_x_forwarded_for=-, proxy_add_x_forwarded_for=192.168.1.101

 

结果描述：

1. REMOTE_ADDR和HTTP_X_FORWARDED_FOR都是真实客户端IP地址101。

 

场景二（增加一台Nginx反向代理）：

 

在105上的/etc/nginx/conf.d目录里，新建realip.com.conf，内容如下。

 

upstream realip {

         #反向代理到106的80端口

    server 192.168.1.106:80;

}

server {

    listen       80;

    server_name  realip.com;

    access_log  /var/log/nginx/realip.com.access.log main;

    error_log  /var/log/nginx/realip.com.error.log error;

 

    location / {

        proxy_pass  http://realip;

        proxy_set_header   Host             $host;

        proxy_set_header   X-Real-IP        $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        include        fastcgi_params;

    }

}

 

同时修改fastcgi_params文件确保有以下一行：

fastcgi_param  REMOTE_ADDR        $remote_addr;

 

在客户机101上修改host:

192.168.1.105 realip.com

 

在客户机上打开浏览器访问http://realip.com，看到的结果是：

REMOTE_ADDR=192.168.1.105

HTTP_X_FORWARDED_FOR=192.168.1.101, 192.168.1.105

HTTP_X_REAL_IP=192.168.1.101

 

106上的Nginx log是：

remote_addr=192.168.1.105:34686, http_x_forwarded_for=192.168.1.101, proxy_add_x_forwarded_for=192.168.1.101, 192.168.1.105

 

105上的Nginx log是：

remote_addr=192.168.1.101:23417, http_x_forwarded_for=-, proxy_add_x_forwarded_for=192.168.1.101

 

结果描述：

1. REMOTE_ADDR变成了反向代理105的IP地址
2. HTTP_X_FORWARDED_FOR记录了真实客户端IP和反向代理IP，以逗号分隔。
3. 新出现的HTTP_X_REAL_IP也是真实客户端IP地址，是由105的realip.com.conf配置写入的

 

场景三（再增加一台Nginx正向代理）：

 

Nginx是可以做正向代理的，但是必须指定resolver（既DNS）。但是我没有搭建内网DNS，所以就把104又搭建成了一台反向代理来模拟正向代理。我认为正向、反向代理原理都是差不多的，取得的结果也应该差不多的（如果谁能用真正的正向代理测试出了不同结果，请告知一下）。

 

同时修改fastcgi_params文件确保有以下一行：

fastcgi_param  REMOTE_ADDR        $remote_addr;

 

在客户机101上修改host:

192.168.1.104 realip.com

 

我们在客户机上打开浏览器访问http://realip.com，看到的结果是：

REMOTE_ADDR=192.168.1.105

HTTP_X_FORWARDED_FOR=192.168.1.101, 192.168.1.104, 192.168.1.105

HTTP_X_REAL_IP=192.168.1.104

 

106上的Nginx log是：

remote_addr=192.168.1.105:34780, http_x_forwarded_for=192.168.1.101, 192.168.1.104, proxy_add_x_forwarded_for=192.168.1.101, 192.168.1.104, 192.168.1.105

 

105上的Nginx log是：

remote_addr=192.168.1.104:60142, http_x_forwarded_for=192.168.1.101, proxy_add_x_forwarded_for=192.168.1.101, 192.168.1.104

 

104上的Nginx log是：

remote_addr=192.168.1.101:23470, http_x_forwarded_for=-, proxy_add_x_forwarded_for=192.168.1.101

 

结果描述：

1. REMOTE_ADDR还是反向代理105的IP地址
2. HTTP_X_FORWARDED_FOR记录了真实客户端IP和两台反向代理IP，以逗号分隔。
3. HTTP_X_REAL_IP变成了104

 

结论：

在默认配置情况下，如果要取得客户端真实IP地址的话，只有取HTTP_X_FORWARDED_FOR的第一个逗号前的IP地址最靠谱，其他的地址都有可能被重写。当然，如果连HTTP_X_FORWARDED_FOR都被重写的话就另当别论了