Java获取真实IP,servlet request getHeader(“x-forwarded-for“)

已于 2022-01-24 10:03:04 修改
阅读量4w 收藏 59
点赞数 22
分类专栏: Nginx 工具-Utils 文章标签: tcp/ip 服务器 apache
于 2014-03-13 20:33:49 首次发布
原文链接:https://www.cnblogs.com/heioray/p/9530650.html
版权

目录

Nginx配置

Java获取

Java Web 获取客户端真实IP - 小猩 - 博客园 (cnblogs.com)icon-default.png?t=M0H8https://www.cnblogs.com/xiaoxing/p/6565573.html

Nginx配置

前后端分离之后,采用nginx作为静态服务器,并通过反向代理的方式实现接口跨域的方式,在降低开发成本的同时也带来了诸多问题,例如客户端真实IP的获取。

在一些特殊场景下,比如风控和支付流程,往往需要获取用户的ip信息,但是nginx反向代理在实现跨域的同时,也彻底地改变了服务端请求来源,隔离了用户和服务端的连接,如下图

用户访问前端页面'https://a.test.com/index/html',调用支付接口的时候,支付接口的地址是'https://a.test.com/goPay',然后由nginx反向代理到server端的'https://b.test.com/goPay'。这个时候对于server端来说,他接到的请求都是来自nginx服务器的,此时server 端默认获取到的ip则是nginx服务器的ip。这并不是我们想要的。这个时候就需要添加如下配置:

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Real-Port $remote_port;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

三个header分别表示:

X-Real-IP            客户端ip
X-Real-Port          客户端或上一级端口
X-Forwarded-For      包含了客户端和各级代理ip的完整ip链路

其中X-Real-IP是必需的,后两项选填。当只存在一级nginx代理的时候X-Real-IP和X-Forwarded-For是一致的,而当存在多级代理的时候,X-Forwarded-For 就变成了如下形式

X-Forwarded-For: 客户端ip, 一级代理ip, 二级代理ip...

在获取客户端ip的过程中虽然X-Forwarded-For是选填的,但是个人建议还是保留这,以便出现安全问题的时候,可以根据日志文件回溯来源。

有个坑:

除了上述配置部分网友还给了一个host的header

proxy_set_header Host $host;

首先这个header并不是必需的,其次这个header host和proxy_pass转发产生的hostheader会出现冲突,导致接口502的情况。但是这个配置更新后,nginx重启包括使用nginx -t进行测试也不会报错,这个值得大家注意一下。

Java获取

发生的场景:服务器端接收客户端请求的时候,一般需要进行签名验证,客户端IP限定等情况,在进行客户端IP限定的时候,需要首先获取该真实的IP。一般分为两种情况:

方式一、客户端未经过代理,直接访问服务器端(nginx,squid,haproxy);

方式二、客户端通过多级代理,最终到达服务器端(nginx,squid,haproxy);

  客户端请求信息都包含在HttpServletRequest中,可以通过方法getRemoteAddr()获得该客户端IP。此时如果在使用方式一形式,可以直接获得该客户端真实IP。而如果是方式二中通过代理的形式,此时经过多级反向的代理,通过方法getRemoteAddr()得不到客户端真实IP,可以通过x-forwarded-for获得转发后请求信息。当客户端请求被转发,IP将会追加在其后并以逗号隔开,例如:10.47.103.13,4.2.2.2,10.96.112.230。

 请求中的参数:

request.getHeader("x-forwarded-for") : 10.47.103.13,4.2.2.2,10.96.112.230

request.getHeader("X-Real-IP") : 10.47.103.13

request.getRemoteAddr():10.96.112.230

客户端访问经过转发,IP将会追加在其后并以逗号隔开。最终准确的客户端信息为:

  • x-forwarded-for 不为空,则为逗号前第一个IP ;
  • X-Real-IP不为空,则为该IP ;
  • 否则为getRemoteAddr() ;

代码示例:

    /** 
     * 获取用户真实IP地址,不使用request.getRemoteAddr()的原因是有可能用户使用了代理软件方式避免真实IP地址, 
     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值 
     *  
     * @return ip
     */
    private String getIpAddr(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for"); 
        System.out.println("x-forwarded-for ip: " + ip);
        if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) {  
            // 多次反向代理后会有多个ip值,第一个ip才是真实ip
            if( ip.indexOf(",")!=-1 ){
                ip = ip.split(",")[0];
            }
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("Proxy-Client-IP");  
            System.out.println("Proxy-Client-IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("WL-Proxy-Client-IP");  
            System.out.println("WL-Proxy-Client-IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("HTTP_CLIENT_IP");  
            System.out.println("HTTP_CLIENT_IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");  
            System.out.println("HTTP_X_FORWARDED_FOR ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("X-Real-IP");  
            System.out.println("X-Real-IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getRemoteAddr();  
            System.out.println("getRemoteAddr ip: " + ip);
        } 
        System.out.println("获取客户端ip: " + ip);
        return ip;  
    }

  此时,正常情况之下可以获取客户端真实的IP。需要注意的是对于服务器端采用负载的形式,需要配置保存x-forwarded-for。目前负载的形式有haproxy、nginx等形式。结构图如下:

/**
     * 获取用户真实IP地址,不使用request.getRemoteAddr();的原因是有可能用户使用了代理软件方式避免真实IP地址,
     *
     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,究竟哪个才是真正的用户端的真实IP呢?
     * 答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。
     *
     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130,
     * 192.168.1.100
     *
     * 用户真实IP为: 192.168.1.110
     *
     * @param request
     * @return
     */
    public static String getIpAddress(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
            if("127.0.0.1".equals(ip)||"0:0:0:0:0:0:0:1".equals(ip)){
                //根据网卡取本机配置的IP
                InetAddress inet=null;
                try {
                    inet = InetAddress.getLocalHost();
                } catch (UnknownHostException e) {
                    e.printStackTrace();
                }
                ip= inet.getHostAddress();
            }
        }
        return ip;
    }

OkidoGreen
关注
  • 22
    点赞
  • 59
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
java request.getHeader("user-agent")获取浏览器信息的方法
08-26
主要介绍了java request.getHeader("user-agent")获取浏览器信息的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
关于request.getHeader("Referer")的问题探讨
10-26
request.getHeader("Referer")获取上次访问的URL链接,在什么情况下他会出现问题,下面为大家分享下,感兴趣的朋友不要错过
java代码request.getHeader无法获取head内容,解决方案
zhaoshuhuicn的博客
02-29 812
经过nginx 后, 代码无法获取head,获取的head是null, 例如:signature结果是null。http里面,增加 underscores_in_headers on;
Java开发】之获取客户端真实 IP 地址
王廷云的博客
11-11 2055
一般的客户端(例如浏览器)发送HTTP请求是没有 X-Forwarded-For 头的,当请求到达第一个代理服务器时,代理服务器会加上 X-Forwarded-For 请求头,并将值设为客户端的IP地址(也就是最左边第一个值),后面如果还有多个代理,会依次将IP追加到 X-Forwarded-For 头最右边,最终请求到达Web应用服务器,应用通过获取 X-Forwarded-For 头取左边第一个IP即为客户端真实IP。这种方式在中间没有代理的情况下,获取连接到服务器的客户端 IP 的最简单有效的方式。
如何获取请求端真实IP和远程主机IP详解
weixin_43811057的博客
04-26 9330
如何获取请求端真实IP和远程主机IP详解需求背景一、Remote_Addr情况 一:情况二:java获取Remote_Addr的api二、X-Forwarded-Forjava获取X-Forwarded-For的api为 需求背景 HTTP请求头中的Remote_Addr,X-Forwarded-For,X-Real-IP 我们在项目中有时需要获取请求端真实IP,有时需要获取代理服务器IP。 下面详细介绍如何获取。 一、Remote_Addr Remote_Addr表示发出请求的远程主机IP。rem
java服务器获取ip 解读请求头 伪造ip
global_coding的博客
06-06 1062
java服务器获取ip 解读请求头 伪造ip
java获取IP地址,request.getHeader(“x-forwarded-for“)
wushijuewu
04-11 2968
当只存在一级nginx代理的时候X-Real-IP和X-Forwarded-For是一致的,而当存在多级代理的时候,X-Forwarded-For 就变成了如下形式。这并不是我们想要的。在一些特殊场景下,比如风控和支付流程,往往需要获取用户的ip信息,但是nginx反向代理在实现跨域的同时,也彻底地改变了服务端请求来源,隔离了用户和服务端的连接,如下图。发生的场景:服务器端接收客户端请求的时候,一般需要进行签名验证,客户端IP限定等情况,在进行客户端IP限定的时候,需要首先获取真实IP
如何获取用户的真实IP
青春继续
09-20 8687
问题引出:  在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.
servlet request getHeader("x-forwarded-for") 获取真实IP
热门推荐
CTO成长之路——Rosanu
05-28 1万+
request方法客户端IP: request.getRemoteAddr() 输出:192.168.0.106 客户端主机名:request.getRemoteHost()输出:abc request.getHeader("Host") 输出:192.168.0.1:8080 Web服务器名字:request.getServerName()输出:192.168.0.1 服务器监听的端口:req
Java获取真实IPservlet request getHeade(“x-forwarded-for“)
RE_Z002的博客
10-26 816
Java获取真实IPservlet request getHeade("x-forwarded-for")
request.getHeader() 相关详细与x-forwarded-for
u014000832的专栏
04-20 2558
System.out.println("Protocol: " + request.getProtocol());  System.out.println("Scheme: " + request.getScheme());  System.out.println("Server Name: " + request.getServerName() ); //获得服务器的名字  System.
关于request.getHeader(Referer)的问题探讨
01-08
今天我来分享一下,request.getHeader(“Referer”)获取上次访问的URL链接,在什么情况下他会出现问题! 我在某些页面中,有某几个按钮,分别用来跳转到action.do?method=m 但是,我是用 warpLoaction(”url”);这...
获取IP地址和MAC地址
01-10
String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip....
获取访问地址中ip
12-20
获取请求头中ip,不同方法:request.getRemoteAddr(),request.getHeader("x-forwarded-for")
TCP相关问题总结
最新发布
qq_62835094的博客
04-23 1033
假设TCP是两次握手,则可能会发生以下情况客户端发起TCP握手,向服务器发送SYN,但该数据因网络波动滞留此时触发超时重传,重新简历TCP连接当新建立的连接断开后,之前在网络中滞留的SYN连接请求传递到服务端,服务端误以为客户端需要建立TCP连接,因此会发送SYN+ACK请求,并进入连接建立状态,但客户端并不需要建立连接,不会发送数据,因此会造成服务端资源的浪费三次握手可以防止客户端无效连接信息再次到达服务器,导致重新连接之所以需要四次挥手,因为半关闭tcp通道允许双方互相发送数据,数据是双向流动的。
TCP/IP协议(二)
借风拥你
04-22 1088
TCP滑动窗口是TCP协议中的一种流量控制机制,用于调节发送方和接收方之间的数据传输速率,以避免网络拥塞和提高传输效率。滑动窗口机制允许发送方在不等待确认应答的情况下连续发送多个数据段。
Java 网络编程之TCP(三):基于NIO实现服务端,BIO实现客户端
u013771019的专栏
04-23 588
3.Selector:选择器,就是Linux 内核中的IO多路复用器,为了提高网络IO编程的效率,常用的有select, poll, epoll, 可以参考Linux对应系统调用。前面的文章,我们讲述了BIO的概念,以及编程模型,由于BIO中服务器端的一些阻塞的点,导致服务端对于每一个客户端连接,都要开辟一个线程来处理,导致资源浪费,效率低。先开启服务端,再开启两个客户端发送数据,服务端接受连接后,会打印当前接受到的客户端总数,然后轮询接收数据后打印;客户端:基于BIO,连接服务端,并发送数据。
TCP、UDP客户端
m0_73929315的博客
04-23 993
int main(int argc, const char *argv[])//argv[1] IP argv[2] 端口号。int main(int argc, const char *argv[])//argv[1] IP argv[2] 端口号。printf("创建报式套接字成功 cfd=%d __%d__\n",cfd,__LINE__);printf("服务器下线 __%d__\n",__LINE__);//填充客户端自身的地址信息,给bind函数绑定使用;//填充服务器的地址信息。
WSL2无法ping通本地主机ip的解决办法
人工智能
04-23 347
WSL2无法ping通本地主机ip的解决办法: 刚装完WSL2的Ubuntu子系统时,可能无法ping通本地主机的ip ping通了,完美解决!
Java获取客户端真实IP 解决request.getRemoteAddr()
05-14
Java 中,可以通过 Servlet 中的 `HttpServletRequest` 对象的 `getHeader` 方法来获取客户端的真实 IP。下面是一些可能的方法: 1. 使用 `X-Forwarded-For` 头 在使用反向代理的情况下,客户端的 IP 地址可能会被代理服务器所覆盖。此时可以通过读取 `X-Forwarded-For` 头来获取客户端的真实 IP。 ```java String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } ``` 2. 使用 `Proxy-Client-IP` 头 有些代理服务器会添加 `Proxy-Client-IP` 头,此时可以通过它来获取客户端的真实 IP。 ```java String ip = request.getHeader("Proxy-Client-IP"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } ``` 3. 使用 `WL-Proxy-Client-IP` 头 WebLogic 服务器使用 `WL-Proxy-Client-IP` 头来存储客户端的真实 IP。 ```java String ip = request.getHeader("WL-Proxy-Client-IP"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } ``` 需要注意的是,以上方法并不能保证一定能够获取到客户端的真实 IP,因为有些代理服务器可能会删除或修改相关的头信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值