项目中需要和第三方平台接口,加了来源ip鉴权功能,测试时发现没有问题,但是部署以后发现存在问题,一直鉴权不通过,一群人抓瞎。
我找到那块的代码,跟了一遍流程发现逻辑没有啥问题,但是最终的结果却还是鉴权不通过,实在有些诡异。其基本逻辑为先取得配置的ip列表,然后通过[b]request.getremoteaddr()[/b]取得客户端的ip地址,做鉴权和校验,逻辑没问题,那么肯定是request.getremoteaddr()出了问题,google下,发现有人遇到类似的问题。
最终定位为request.getremoteaddr()这种方法在大部分情况下都是有效的。但是在通过了apache,squid等反向代理软件就不能获取到客户端的真实ip地址了。
如果使用了反向代理软件,将<span style='text-decoration: underline;'><a href='http://192.168.1.110:2046/'>http://192.168.1.110:2046/</a></span> 的url反向代理为<span style='text-decoration: underline;'>http://www.xxx.com/</span> 的url时,用[b]request.getremoteaddr()[/b]方法获取的ip地址是:127.0.0.1 或 <span style='text-decoration: underline;'><span style='color: #0000ff;'>192.168.1.110</span></span>,而并不是客户端的真实ip。
经过代理以后,由于在客户端和服务之间增加了中间层,因此服务器无法直接拿到客户端的ip,服务器端应用也无法直接通过转发请求的地址返回给客户端。但是在转发请求的http头信息中,增加了<span style='text-decoration: underline;'>[b]x-forwarded-for[/b]</span>信息用以跟踪原有的客户端ip地址和原来客户端请求的服务器地址。<br/>原来如此,我们的项目中正好是有前置apache,将一些请求转发给后端的weblogic,看来就是这样导致的咯。
给出一份还算靠谱的代码,如下:
<pre name='code' class='java'>public string getipaddr(httpservletrequest request) { string ip = request.getheader("x-forwarded-for"); if(ip == null || ip.length() == 0 || "unknown".equalsignorecase(ip)) { ip = request.getheader("proxy-client-ip"); } if(ip == null || ip.length() == 0 || "unknown".equalsignorecase(ip)) { ip = request.getheader("wl-proxy-client-ip"); } if(ip == null || ip.length() == 0 || "unknown".equalsignorecase(ip)) { ip = request.getremoteaddr(); } return ip; } </pre>
如果有人遇到类似问题,请多加留意,呵呵。
ps:可是,如果通过了多级反向代理的话,x-forwarded-for的值并不止一个,而是一串ip值,究竟哪个才是真正的用户端的真实ip呢?<br/>答案是取x-forwarded-for中第一个非unknown的有效ip字符串。如:x-forwarded-for:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100,用户真实ip为: 192.168.1.110
我找到那块的代码,跟了一遍流程发现逻辑没有啥问题,但是最终的结果却还是鉴权不通过,实在有些诡异。其基本逻辑为先取得配置的ip列表,然后通过[b]request.getremoteaddr()[/b]取得客户端的ip地址,做鉴权和校验,逻辑没问题,那么肯定是request.getremoteaddr()出了问题,google下,发现有人遇到类似的问题。
最终定位为request.getremoteaddr()这种方法在大部分情况下都是有效的。但是在通过了apache,squid等反向代理软件就不能获取到客户端的真实ip地址了。
如果使用了反向代理软件,将<span style='text-decoration: underline;'><a href='http://192.168.1.110:2046/'>http://192.168.1.110:2046/</a></span> 的url反向代理为<span style='text-decoration: underline;'>http://www.xxx.com/</span> 的url时,用[b]request.getremoteaddr()[/b]方法获取的ip地址是:127.0.0.1 或 <span style='text-decoration: underline;'><span style='color: #0000ff;'>192.168.1.110</span></span>,而并不是客户端的真实ip。
经过代理以后,由于在客户端和服务之间增加了中间层,因此服务器无法直接拿到客户端的ip,服务器端应用也无法直接通过转发请求的地址返回给客户端。但是在转发请求的http头信息中,增加了<span style='text-decoration: underline;'>[b]x-forwarded-for[/b]</span>信息用以跟踪原有的客户端ip地址和原来客户端请求的服务器地址。<br/>原来如此,我们的项目中正好是有前置apache,将一些请求转发给后端的weblogic,看来就是这样导致的咯。
给出一份还算靠谱的代码,如下:
<pre name='code' class='java'>public string getipaddr(httpservletrequest request) { string ip = request.getheader("x-forwarded-for"); if(ip == null || ip.length() == 0 || "unknown".equalsignorecase(ip)) { ip = request.getheader("proxy-client-ip"); } if(ip == null || ip.length() == 0 || "unknown".equalsignorecase(ip)) { ip = request.getheader("wl-proxy-client-ip"); } if(ip == null || ip.length() == 0 || "unknown".equalsignorecase(ip)) { ip = request.getremoteaddr(); } return ip; } </pre>
如果有人遇到类似问题,请多加留意,呵呵。
ps:可是,如果通过了多级反向代理的话,x-forwarded-for的值并不止一个,而是一串ip值,究竟哪个才是真正的用户端的真实ip呢?<br/>答案是取x-forwarded-for中第一个非unknown的有效ip字符串。如:x-forwarded-for:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100,用户真实ip为: 192.168.1.110
1169
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
