03 获取请求 IP 地址

在 Spring 中，获取客户端真实 IP 地址的方法是 request.getRemoteAddr()，这种方法在大部分情况下都是有效的，但是在通过了 Squid 等反向代理软件就无法工作。

如果使用了反向代理软件，将 http://192.168.1.110:2046/ 的 URL 反向代理为 http://www.abc.com/ 的 URL 时，用request.getRemoteAddr() 方法获取的 IP 地址是 127.0.0.1 或 192.168.1.110，而并不是客户端的真实 IP。

经过代理以后，由于在客户端和服务之间增加了中间层，因此服务器无法直接拿到客户端的 IP，服务器端应用也无法直接通过转发请求的地址返回给客户端。但是在转发请求的 HTTP 头信息中，增加了 X-FORWARDED-FOR 信息，用以跟踪原有的客户端 IP 地址和原来客户端请求的服务器地址。

当我们访问 http://www.abc.com 时，其实并不是我们浏览器真正访问到了服务器上，而是先由代理服务器去访问 http://192.168.1.110:2046，代理服务器再将访问到的结果返回给我们的浏览器，因为是代理服务器去访问真实服务器，所以通过 request.getRemoteAddr() 的方法获取的 IP 实际上是代理服务器的地址，并不是客户端的 IP 地址。

下面是一种在 Java 服务器中获取请求 ip 的常见方式：

package com.titan.toolcenter.utils;

import javax.servlet.http.HttpServletRequest;
import java.net.InetAddress;
import java.net.UnknownHostException;

/**
 * @author SHIYU
 * @date 2019/12/23 9:02
 * @description 获取请求真实IP
 */
public class IpUtil {

    public static String getIpAddr(HttpServletRequest request) {
        String ipAddress = null;
        try {
            ipAddress = request.getHeader("x-forwarded-for");
            if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
                ipAddress = request.getHeader("Proxy-Client-IP");
            }
            if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
                ipAddress = request.getHeader("WL-Proxy-Client-IP");
            }
            if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {
                ipAddress = request.getRemoteAddr();
                if (ipAddress.equals("127.0.0.1")) {
                    // 根据网卡取本机配置的IP
                    InetAddress inet = null;
                    try {
                        inet = InetAddress.getLocalHost();
                    } catch (UnknownHostException e) {
                        e.printStackTrace();
                    }
                    ipAddress = inet.getHostAddress();
                }
            }
            // 对于通过多个代理的情况，第一个IP为客户端真实IP，多个IP按照','分割
            if (ipAddress != null && ipAddress.length() > 15) { // "***.***.***.***".length()
                if (ipAddress.indexOf(",") > 0) {
                    ipAddress = ipAddress.substring(0, ipAddress.indexOf(","));
                }
            }
        } catch (Exception e) {
            ipAddress = "";
        }
        return ipAddress;
    }
}

食用方式：

@RestController
@RequestMapping("/pay")
@RequiredArgsConstructor(onConstructor = @__(@Autowired))
@Api(value = "支付管理", tags = {"支付管理"})
public class PayOrderController {

    /**
     * 头部信息
     */
    private final HttpServletRequest servletRequest;

     /**
     * 支付订单
     */
    @PostMapping("/order")
    @ApiOperation(value = "订单详情", notes = "订单详情")
    public CommJSONResult order(@ApiParam(value = "参数", required = true) @RequestBody PayOrderParams bean) throws Exception {
        String ip = IpUtil.getIpAddr(servletRequest);
    }

}

这里解释下这些请求头的意思：

X-Forwarded-For

这是一个 Squid 开发的字段，只有在通过了 HTTP 代理或者负载均衡服务器时才会添加该项。

格式为 X-Forwarded-For:client1,proxy1,proxy2，一般情况下，第一个 ip 为客户端真实 ip，后面的为经过的代理服务器 ip。现在大部分的代理都会加上这个请求头。

Proxy-Client-IP/WL- Proxy-Client-IP

这个一般是经过 apache http 服务器的请求才会有，用 apache http 做代理时一般会加上 Proxy-Client-IP 请求头，而 WL-Proxy-Client-IP 是他的 weblogic 插件加上的请求头。

需要注意几点：

• 这些请求头都不是 http 协议里的标准请求头，也就是说这是各个代理服务器自己规定的表示客户端地址的请求头。如果哪天有一个代理服务器软件用 xxx-client-ip 这个请求头代表客户端请求，那上面的代码就不行了。

• 这些请求头不是代理服务器一定会带上的，网络上的很多匿名代理就没有这些请求头，所以获取到的客户端 ip 不一定是真实的客户端 ip。代理服务器一般都可以自定义请求头设置。

• 即使请求经过的代理都会按自己的规范附上代理请求头，上面的代码也不能确保获得的一定是客户端 ip。不同的网络架构，判断请求头的顺序是不一样的。

• 最重要的一点，请求头都是可以伪造的。如果一些对客户端校验较严格的应用（比如投票）要获取客户端 ip，应该直接使用 request.getRemoteAddr()，虽然获取到的可能是代理的 ip 而不是客户端的 ip，但这个获取到的 ip 基本上是不可能伪造的，也就杜绝了刷票的可能。

nginx 配置

server {
    listen 80;
    server_name liv6565.com;

    location / {
        proxy_connect_timeout 300s;
        proxy_send_timeout   300s;
        proxy_read_timeout   300s;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_pass http://api:8080;
        proxy_redirect http:// https://;
        client_max_body_size 300M;
    }

    location /chat {
        access_log off;
        proxy_pass http://api:7002;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_connect_timeout 1d;
        proxy_send_timeout 1d;
        proxy_read_timeout 1d;
    }

}

$proxy_add_x_forwarded_for 与 $http_x_forwarded_for 这两个的变量的值的区别就在于 $proxy_add_x_forwarded_for 比$http_x_forwarded_for 多了一个 $remote_addr 的值。

$remote_addr 只能获取到与服务器本身直连的上层请求 ip，所以设置 $remote_addr 一般都是设置第一个代理上面。如果用户通过 cdn 访问过来的，那么后面 web 服务器获取到的，永远都是 cdn 的 ip 而非真是用户 ip，这时就要用到 x-forward—for 了，这个变量其实就像是链路反追踪，从客户的真实 ip 为起点，穿过多层级的 proxy，最终到达 web 服务器，都会记录下来。