前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。 1. 没有代理 单纯的web应用,没有做代理的情况下,Java获取客户端真实IP,最简单的方式是request.getRemoteAddr(),此方法能获取TCP连接端客户端真实IP;当然,在没有伪造IP的情况下request.getHeader("x-forwarded-for")也可以获取客户端真实IP,如果客户端伪造请求头信息,比如设置请求头信息"x-forwarded-for:伪造IP",那么通过x-forwarded-for获取的IP为:"伪造IP,真实IP",可通过","解析,获取最后一个IP,即为真实IP,具体代码如下:
//获取request对象,或者直接来自controller控制层 RequestAttributes ra = RequestContextHolder.getRequestAttributes(); ServletRequestAttributes sra = (ServletRequestAttributes) ra; HttpServletRequest request = sra.getRequest(); //客户端TCP连接真实IP String ip = request.getRemoteAddr(); //此方法获取的IP可能包含伪造IP String ip = request.getHeader("x-forwarded-for");
2. Nginx做代理 在有代理的情况下,由于任何请求首先经过Nginx,故通过request.getRemoteAddr()获取的其实是Nginx的IP,并非真实的客户端IP;此时通过x-forwarded-for获取的IP为:"客户端,代理1,代理2,..."或者"伪造IP,客户端,代理1,代理2,...",故不能获取到准确的客户端IP,此时需要配置Nginx TCP客户端连接的真实IP,通过代理配置获取真实IP,可以通过$remote_addr获取客户端IP,Nginx配置如下: location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; ... }
此时获取客户端IP的代码如下:
RequestAttributes ra = RequestContextHolder.getRequestAttributes(); ServletRequestAttributes sra = (ServletRequestAttributes) ra; HttpServletRequest request = sra.getRequest(); //客户端真实IP String ip = request.getHeader("X-Real-IP");
