Java获取真实IP,servlet request getHeader(“x-forwarded-for“)

已于 2022-01-24 10:03:04 修改
阅读量4.1w 收藏 60
点赞数 22
分类专栏: Nginx 工具-Utils 文章标签: tcp/ip 服务器 apache
于 2014-03-13 20:33:49 首次发布
原文链接:https://www.cnblogs.com/heioray/p/9530650.html
版权

目录

Nginx配置

Java获取

Java Web 获取客户端真实IP - 小猩 - 博客园 (cnblogs.com)icon-default.png?t=M0H8https://www.cnblogs.com/xiaoxing/p/6565573.html

Nginx配置

前后端分离之后,采用nginx作为静态服务器,并通过反向代理的方式实现接口跨域的方式,在降低开发成本的同时也带来了诸多问题,例如客户端真实IP的获取。

在一些特殊场景下,比如风控和支付流程,往往需要获取用户的ip信息,但是nginx反向代理在实现跨域的同时,也彻底地改变了服务端请求来源,隔离了用户和服务端的连接,如下图

用户访问前端页面'https://a.test.com/index/html',调用支付接口的时候,支付接口的地址是'https://a.test.com/goPay',然后由nginx反向代理到server端的'https://b.test.com/goPay'。这个时候对于server端来说,他接到的请求都是来自nginx服务器的,此时server 端默认获取到的ip则是nginx服务器的ip。这并不是我们想要的。这个时候就需要添加如下配置:

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Real-Port $remote_port;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

三个header分别表示:

X-Real-IP            客户端ip
X-Real-Port          客户端或上一级端口
X-Forwarded-For      包含了客户端和各级代理ip的完整ip链路

其中X-Real-IP是必需的,后两项选填。当只存在一级nginx代理的时候X-Real-IP和X-Forwarded-For是一致的,而当存在多级代理的时候,X-Forwarded-For 就变成了如下形式

X-Forwarded-For: 客户端ip, 一级代理ip, 二级代理ip...

在获取客户端ip的过程中虽然X-Forwarded-For是选填的,但是个人建议还是保留这,以便出现安全问题的时候,可以根据日志文件回溯来源。

有个坑:

除了上述配置部分网友还给了一个host的header

proxy_set_header Host $host;

首先这个header并不是必需的,其次这个header host和proxy_pass转发产生的hostheader会出现冲突,导致接口502的情况。但是这个配置更新后,nginx重启包括使用nginx -t进行测试也不会报错,这个值得大家注意一下。

Java获取

发生的场景:服务器端接收客户端请求的时候,一般需要进行签名验证,客户端IP限定等情况,在进行客户端IP限定的时候,需要首先获取该真实的IP。一般分为两种情况:

方式一、客户端未经过代理,直接访问服务器端(nginx,squid,haproxy);

方式二、客户端通过多级代理,最终到达服务器端(nginx,squid,haproxy);

  客户端请求信息都包含在HttpServletRequest中,可以通过方法getRemoteAddr()获得该客户端IP。此时如果在使用方式一形式,可以直接获得该客户端真实IP。而如果是方式二中通过代理的形式,此时经过多级反向的代理,通过方法getRemoteAddr()得不到客户端真实IP,可以通过x-forwarded-for获得转发后请求信息。当客户端请求被转发,IP将会追加在其后并以逗号隔开,例如:10.47.103.13,4.2.2.2,10.96.112.230。

 请求中的参数:

request.getHeader("x-forwarded-for") : 10.47.103.13,4.2.2.2,10.96.112.230

request.getHeader("X-Real-IP") : 10.47.103.13

request.getRemoteAddr():10.96.112.230

客户端访问经过转发,IP将会追加在其后并以逗号隔开。最终准确的客户端信息为:

  • x-forwarded-for 不为空,则为逗号前第一个IP ;
  • X-Real-IP不为空,则为该IP ;
  • 否则为getRemoteAddr() ;

代码示例:

    /** 
     * 获取用户真实IP地址,不使用request.getRemoteAddr()的原因是有可能用户使用了代理软件方式避免真实IP地址, 
     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值 
     *  
     * @return ip
     */
    private String getIpAddr(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for"); 
        System.out.println("x-forwarded-for ip: " + ip);
        if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) {  
            // 多次反向代理后会有多个ip值,第一个ip才是真实ip
            if( ip.indexOf(",")!=-1 ){
                ip = ip.split(",")[0];
            }
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("Proxy-Client-IP");  
            System.out.println("Proxy-Client-IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("WL-Proxy-Client-IP");  
            System.out.println("WL-Proxy-Client-IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("HTTP_CLIENT_IP");  
            System.out.println("HTTP_CLIENT_IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");  
            System.out.println("HTTP_X_FORWARDED_FOR ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("X-Real-IP");  
            System.out.println("X-Real-IP ip: " + ip);
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getRemoteAddr();  
            System.out.println("getRemoteAddr ip: " + ip);
        } 
        System.out.println("获取客户端ip: " + ip);
        return ip;  
    }

  此时,正常情况之下可以获取客户端真实的IP。需要注意的是对于服务器端采用负载的形式,需要配置保存x-forwarded-for。目前负载的形式有haproxy、nginx等形式。结构图如下:

/**
     * 获取用户真实IP地址,不使用request.getRemoteAddr();的原因是有可能用户使用了代理软件方式避免真实IP地址,
     *
     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,究竟哪个才是真正的用户端的真实IP呢?
     * 答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。
     *
     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130,
     * 192.168.1.100
     *
     * 用户真实IP为: 192.168.1.110
     *
     * @param request
     * @return
     */
    public static String getIpAddress(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
            if("127.0.0.1".equals(ip)||"0:0:0:0:0:0:0:1".equals(ip)){
                //根据网卡取本机配置的IP
                InetAddress inet=null;
                try {
                    inet = InetAddress.getLocalHost();
                } catch (UnknownHostException e) {
                    e.printStackTrace();
                }
                ip= inet.getHostAddress();
            }
        }
        return ip;
    }

OkidoGreen
关注
专栏目录
request getHeader("x-forwarded-for") 获取客户端IP地址
c657826604的博客
02-16 1187
在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.getRemoteAddr()方法获取IP地址是:127.0.0.1或 192.168.1.110,而并不是客户端的真实IP。   
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 876
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
如何获取用户的真实IP
青春继续
09-20 8774
问题引出:  在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.
【springboot过ingress后无法获取X-Forwarded-For头信息】
最新发布
Chanal_sogaad的博客
09-11 800
项目使用spring boot 2.7.18,线上环境出现取不到X-Forwarded-For头的问题,本地和测试环境都正常。本地是直接调用,测试环境是nginx转发,线上是k8s并且过了ingress.
java获取IP地址,request.getHeader(“x-forwarded-for“)
wushijuewu
04-11 3339
当只存在一级nginx代理的时候X-Real-IP和X-Forwarded-For是一致的,而当存在多级代理的时候,X-Forwarded-For 就变成了如下形式。这并不是我们想要的。在一些特殊场景下,比如风控和支付流程,往往需要获取用户的ip信息,但是nginx反向代理在实现跨域的同时,也彻底地改变了服务端请求来源,隔离了用户和服务端的连接,如下图。发生的场景:服务器端接收客户端请求的时候,一般需要进行签名验证,客户端IP限定等情况,在进行客户端IP限定的时候,需要首先获取真实IP
request.getHeader() 相关详细与x-forwarded-for
u014000832的专栏
04-20 2631
System.out.println("Protocol: " + request.getProtocol());  System.out.println("Scheme: " + request.getScheme());  System.out.println("Server Name: " + request.getServerName() ); //获得服务器的名字  System.
request.getHeader("x-forwarded-for")获取IP地址
Marcus丶的博客
08-06 2225
在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了 Apache,Nagix等反向代理软件就不能获取到客户端的真实IP地址了。如果使用了反向代理软件,用 request.getRemoteAddr()方法获取IP地址是:127.0.0.1或192.168.1.110,而并不是客户端的真实IP。经过代理以后...
IP工具类,通过传入的request获取ip地址(JAVA
12-25
同样,如果在反向代理环境中,我们需要检查`X-Forwarded-For`头来获取真实IP: ```java String forwardedFor = request.getHeaders().getFirst("X-Forwarded-For"); if (forwardedFor != null) { ipAddress = ...
Java根据Request获取客户端IP
08-30
String ip = request.getHeader("x-forwarded-for"); if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)){ ip = request.getHeader("Proxy-Client-IP"); } if(ip == null || ip.length() =...
java获取请求的真实ip地址,获取真实ip地址,避免获取代理ip (工具类)
一天不写代码难受的博客
12-10 1214
//客户端ip HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest(); String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgno
request.getHeader("x-forwarded-for") = null ?
nlgshw的专栏
03-12 6793
request.getHeader(“x-forwarded-for”) = null ? 在使用Nginx代理网络请求时,设置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for,但是的server端(Tomcat,Spring)收到的网络请求中却得不到这个x-forwarded-for的信息。
request.getHeader("x-forwarded-for")获取不到IP
WisonKot
07-31 1873
获取不到IP有可能是客户端不是http请求:建议你 public String getIpAddr(HttpServletRequest request) { String ip = request.getHeader("x-forwarded-for"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnor...
servlet request getHeader("x-forwarded-for") 获取真实IP
热门推荐
CTO成长之路——Rosanu
05-28 1万+
request方法客户端IP: request.getRemoteAddr() 输出:192.168.0.106 客户端主机名:request.getRemoteHost()输出:abc request.getHeader("Host") 输出:192.168.0.1:8080 Web服务器名字:request.getServerName()输出:192.168.0.1 服务器监听的端口:req
request getHeader(“x-forwarded-for”) 获取真实IP
不是每一次努力都会有收获,但是每一次收获都必须努力,这是一个不公平的不可逆转。
06-09 4872
request方法客户端IP: request.getRemoteAddr()  输出:192.168.0.106 客户端主机名:request.getRemoteHost()输出:abc request.getHeader("Host") 输出:192.168.0.1:8080 Web服务器名字:request.getServerName()输出:192.168.0.1 服务器监听的端口
servlet request getHeader("x-forwarded-for") 获取真实IP
F & Q的专栏
03-26 1581
request方法客户端IPrequest.getRemoteAddr()  输出:192.168.0.106   客户端主机名:request.getRemoteHost()输出:abc   request.getHeader("Host") 输出:192.168.0.1:8080   Web服务器名字:request.getServerName()输出:192.168.0.1  
request.getHeader("x-forwarded-for")获取IP
jcy_15090250860的博客
12-29 1573
request.getHeader("x-forwarded-for")获取IP 2015年02月10日 23:21:31 lijunlinlijunlin 阅读数:1772更多 个人分类: HTTP IP public String getIpAddr(HttpServletRequest request) { String ip = request.getHeader("x-fo...
request.getHeader("x-forwarded-for")这是什么意思
weixin_30915275的博客
04-19 514
request.getHeader,简单的说就是获取请求的头部信息,根据http协议,它能获取到用户访问链接的信息,以下是我们常用的: request.getHeader("referer"),它主要是用于获取链接的上一个引用。比如,从a.jsp跳转到b.jsp,那在b.jsp中获取到的引用就是a.jsp,如果手动刷新,b.jsp,获取到的引用仍然是a.jsp,刷新的时候,会检查服务端是否会有更...
java服务器获取ip 解读请求头 伪造ip
global_coding的博客
06-06 1246
java服务器获取ip 解读请求头 伪造ip
Java获取客户端真实IP 解决request.getRemoteAddr()
05-14
Java 中,可以通过 Servlet 中的 `HttpServletRequest` 对象的 `getHeader` 方法来获取客户端的真实 IP。下面是一些可能的方法: 1. 使用 `X-Forwarded-For` 头 在使用反向代理的情况下,客户端的 IP 地址可能会被代理服务器所覆盖。此时可以通过读取 `X-Forwarded-For` 头来获取客户端的真实 IP。 ```java String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } ``` 2. 使用 `Proxy-Client-IP` 头 有些代理服务器会添加 `Proxy-Client-IP` 头,此时可以通过它来获取客户端的真实 IP。 ```java String ip = request.getHeader("Proxy-Client-IP"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } ``` 3. 使用 `WL-Proxy-Client-IP` 头 WebLogic 服务器使用 `WL-Proxy-Client-IP` 头来存储客户端的真实 IP。 ```java String ip = request.getHeader("WL-Proxy-Client-IP"); if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } ``` 需要注意的是,以上方法并不能保证一定能够获取到客户端的真实 IP,因为有些代理服务器可能会删除或修改相关的头信息。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值