Nginx反向代理获取客户端真实IP、域名、协议、端口

Nginx反向代理获取客户端真实IP、域名、协议、端口

本地调试因缺少端口不能加载静态资源,网上搜的都贴边靠谱,但都没解决,本章解决了有端口时加载静态资源问题

附上参考地址:https://www.sunjs.com/article/detail/196ec851e818426ab55b49b6b75cdc44.html

Nginx反向代理后,Servlet应用通过request.getRemoteAddr()取到的IP是Nginx的IP地址,并非客户端真实IP,通过request.getRequestURL()获取的域名、协议、端口都是Nginx访问Web应用时的域名、协议、端口,而非客户端浏览器地址栏上的真实域名、协议、端口

Nginx反向代理后,Servlet应用通过request.getRemoteAddr()取到的IP是Nginx的IP地址,并非客户端真实IP,通过request.getRequestURL()获取的域名、协议、端口都是Nginx访问Web应用时的域名、协议、端口,而非客户端浏览器地址栏上的真实域名、协议、端口。

 

例如在某一台IP为10.4.64.22的服务器上,Jetty或者Tomcat端口号为8080,Nginx端口号80,Nginx反向代理8080端口:

1

2

3

4

5

6

[xml]

server {

    listen 80;

    location / {

        proxy_pass http://127.0.0.1:8080; # 反向代理应用服务器HTTP地址

    }

}

在另一台机器上用浏览器打开http://10.4.64.22/test访问某个Servlet应用,获取客户端IP和URL:

1

2

[java]

System.out.println("RemoteAddr: " + request.getRemoteAddr());

System.out.println("URL: " + request.getRequestURL().toString());

结果是:

1

2

[java]

RemoteAddr: 127.0.0.1

URL: http://127.0.0.1:8080/test

可以发现,Servlet程序获取到的客户端IP是Nginx的IP而非浏览器所在机器的IP,获取到的URL是Nginx proxy_pass配置的URL组成的地址,而非浏览器地址栏上的真实地址。如果将Nginx用作https服务器反向代理后端的http服务,那么request.getRequestURL()获取的URL是http前缀的而非https前缀,无法获取到浏览器地址栏的真实协议。如果此时将request.getRequestURL()获取得到的URL用作拼接Redirect地址,就会出现跳转到错误的地址,这也是Nginx反向代理时经常出现的一个问题。

 

问题产生的原因

Nginx的反向代理实际上是客户端和真实的应用服务器之间的一个桥梁,客户端(一般是浏览器)访问Nginx服务器,Nginx再去访问Web应用服务器。对于Web应用来说,这次HTTP请求的客户端是Nginx而非真实的客户端浏览器,如果不做特殊处理的话,Web应用会把Nginx当作请求的客户端,获取到的客户端信息就是Nginx的一些信息。

 

解决方案

解决这个问题要从两个方面来解决:

 

由于Nginx是代理服务器,所有客户端请求都从Nginx转发到Jetty/Tomcat,如果Nginx不把客户端真实IP、域名、协议、端口告诉Jetty/Tomcat,那么Jetty/Tomcat应用是永远不会知道这些信息的,所以需要Nginx配置一些HTTP Header来将这些信息告诉被代理的Jetty/Tomcat;

Jetty/Tomcat这一端,不能再傻乎乎的获取直接和它连接的客户端(也就是Nginx)的信息,而是要从Nginx传递过来的HTTP Header中获取客户端信息。

Nginx

添加以下配置:(题外话,重点在这,因为别的方法配置头信息只有地址没有端口,此方法能添加端口获取本地真实静态资源)

1

2

3

4

[xml]

proxy_set_header Host $http_host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Forwarded-Proto $scheme;

解释以下上面的配置,以上配置是在Nginx反向代理的时候,添加一些请求Header。

 

Host包含客户端真实的域名和端口号;

X-Forwarded-Proto表示客户端真实的协议(http还是https);

X-Real-IP表示客户端真实的IP;

X-Forwarded-For这个Header和X-Real-IP类似,但它在多层代理时会包含真实客户端及中间每个代理服务器的IP。

再试一下request.getRemoteAddr()request.getRequestURL()的输出结果:

1

2

[java]

RemoteAddr: 127.0.0.1

URL: http://10.4.64.22/test

可以发现URL好像已经没问题了,但是IP还是本地的IP而非真实客户端IP。但是如果是用Nginx作为https服务器反向代理到http服务器,会发现浏览器地址栏是https前缀但是request.getRequestURL()获取到的URL还是http前缀,也就是仅仅配置Nginx还不能彻底解决问题。

 

Jetty/Tomcat

如果你在网上搜索“Java如何获取客户端真实IP”,搜索到的解决方案大多是通过获取HTTP请求头request.getHeader("X-Forwarded-For")request.getHeader("X-Real-IP")来实现,也就是上面在Nginx上配置的Header,这种方案获取的结果的确是正确的,但是我个人觉得并不优雅。因为既然Servlet API提供了request.getRemoteAddr()方法获取客户端IP,那么无论有没有用反向代理对于代码编写者来说应该是透明的。下面介绍一种更加优雅的方式。

 

Jetty

在Jetty服务器的jetty.xml文件中,找到httpConfig,加入配置:

1

2

3

4

5

6

7

8

[xml]

<New id="httpConfig" class="org.eclipse.jetty.server.HttpConfiguration">

 

    ...

 

  <Call name="addCustomizer">

    <Arg><New class="org.eclipse.jetty.server.ForwardedRequestCustomizer"/></Arg>

  </Call>

</New>

重新启动Jetty,再用浏览器打开http://10.4.64.22/test测试,结果:

1

2

[java]

RemoteAddr: 10.1.3.7

URL: http://10.4.64.22/test

此时可发现通过request.getRemoteAddr()获取到的IP不再是127.0.0.1而是客户端真实IP,request.getRequestURL()获取的URL也是浏览器上的真实URL,如果Nginx作为https代理,request.getRequestURL()的前缀也会是https。

 

另外,Jetty将这个功能封装成一个模块:http-forwarded。如果不想改jetty.xml配置文件的话,也可以启用http-forwarded模块来实现。

 

例如可以通过命令行启动Jetty:

1

[bash]

java -jar start.jar --module=http-forwarded

更多Jetty如何启用模块的相关资料可以参考:http://www.eclipse.org/jetty/documentation/current/startup.html

 

Tomcat

和Jetty类似,如果使用Tomcat作为应用服务器,可以通过配置Tomcat的server.xml文件,在Host元素内最后加入:

1

[xml]

<Valve className="org.apache.catalina.valves.RemoteIpValve" />

  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Nginx 反向代理是一种常用的服务器配置方法,它可以将客户端的请求转到后端的多个服务器上,并将响应返回给客户端。通过反向代理,可以实现负载均衡、缓存、安全性等功能。 要配置 Nginx 反向代理,你需要编辑 Nginx配置文件(通常是 `nginx.conf`),然后添加相应的配置项。 以下是一个简单的 Nginx 反向代理配置示例: ``` http { upstream backend { server backend1.example.com; server backend2.example.com; server backend3.example.com; } server { listen 80; server_name example.com; location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } } ``` 在这个示例中,`upstream` 块定义了后端服务器的列表。`server` 块定义了监听的端口域名,并在 `location` 块中配置反向代理。 `proxy_pass` 指令将请求转发到 `http://backend`,其中 `backend` 是 `upstream` 块中定义的后端服务器列表。 `proxy_set_header` 指令用于设置转发请求时的请求头。在示例中,我们设置了 `Host` 和 `X-Real-IP` 请求头。 完成配置后,保存文件并重新加载 Nginx 配置。这样,Nginx 就会将客户端的请求转发到后端服务器,并将响应返回给客户端。 请注意,以上只是一个简单的示例,实际的配置可能因具体需求而有所不同。你可以根据实际情况进行配置,并参考 Nginx 官方文档获取更多信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值