Nginx是一般的应用最常用的web服务器,通常使用nginx来做一些反向代理,并且Nginx还可能是多层的。如果想在内部服务里面获取最原始的客户端IP地址,即访问用户的真实Ip地址。则需要做一些简单的配置。
最外层Nginx配置
为了防止X-Forwarded-For头的伪造,可在最外层Nginx将X-Forwarded-For设置为真实IP$remote_addr。 $remote_addr是获取的是直接TCP连接的客户端IP(类似于Java中的request.getRemoteAddr()),这个是无法伪造的,即使客户端伪造也会被覆盖掉,而不是追加。
upstream nginxservice {
server 192.168.4.175:8011;
server 192.168.4.176:8012;
}
server {
listen 9018;
server_name 192.168.4.8000;
root /usr/share/nginx/html;
include /etc/nginx/default.d/*.conf;
location / {
proxy_pass http://nginxservice;
proxy_set_header Host $host:$server_port; #远程主机 IP:PORT
proxy_set_header X-Real-PORT $remote_port; #远程端口
proxy_set_header X-Real-IP $remote_addr; #远程地址
proxy_set_header X-Forwarded-For $remote_addr; #远程真实地址
}
}
后续Nginx配置
后续的Nginx配置都是一样的,这里就简单列举一个即可
upstream nginxservice {
server 192.168.4.175:8010;
server 192.168.4.176:8011;
}
server {
listen 9018;
location / {
proxy_pass http://nginxservice ;
proxy_set_header Host $host:$server_port; #远程主机 IP:PORT
proxy_set_header X-Real-PORT $remote_port; #远程端口
proxy_set_header X-Real-IP $remote_addr; #远程地址
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #远程代理地址
}
}
Java获取真实IP
/**
* description 客户端信息获取过滤器
*/
public class ClientHostFilter extends Filter {
/** Nginx默认增加的IP地址头 */
public static final String HEADER_X_FORWARDED_FOR = "X-Forwarded-For";
/** 内部微服务之间调用增加的IP地址头 */
public static final String HEADER_X_REMOTE_USER_IP = "X-Remote-User-IP";
/** IP响应头的分割符号 */
private static final String IP_HEADER_DELIMITER = ",";
@Override
protected void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
HttpServletRequest req = (HttpServletRequest) request;
String remoteUserIP = getRemoteUserIP(request);
filterChain.doFilter(request, response);
}
private String getRemoteUserIP(HttpServletRequest request) {
String xForwardedHeader = request.getHeader(HEADER_X_FORWARDED_FOR);
// 先尝试从X-Forwarded-For获取
if (xForwardedHeader != null && xForwardedHeader.trim().length() > 0) {
String[] ips = xForwardedHeader.split(IP_HEADER_DELIMITER);
return ips[0].trim();
} else {
// 尝试从内部自定义头上获取
String internalIPHeader = request.getHeader(HEADER_X_REMOTE_USER_IP);
if (null != internalIPHeader && internalIPHeader.trim().length() > 0) {
return internalIPHeader.trim();
} else {
return null;
}
}
}
}
执行请求,使用Idea评估获取的Ip,从图中已经可以看出存在两个Ip地址了
原理是在服务往后面传递的时候,定义一个自定义头,将真实IP放到这个header中。 后台服务可取两个IP地址
request.getRemoteAddr()
- 获取调用方服务的内网IP地址getRemoteUserIP
- 获取最源头的真实客户端IP地址