快捷導(dǎo)航

基于nginx獲取代理服務(wù)ip以及客戶端真實(shí)ip詳解

更新時(shí)間：2022年07月19日 11:00:18 作者：yunson_Liu

最近在研究nginx中如何獲取真實(shí)客戶端IP的方法,下面這篇文章主要給大家介紹了基于nginx獲取代理服務(wù)ip以及客戶端真實(shí)ip的相關(guān)資料,文中通過實(shí)例代碼介紹的非常詳細(xì),需要的朋友可以參考下

一、問題背景

在實(shí)際應(yīng)用中，我們可能需要獲取用戶的ip地址，比如做異地登陸的判斷，或者統(tǒng)計(jì)ip訪問次數(shù)等，通常情況下我們使用 request.getRemoteAddr() 就可以獲取到客戶端ip，但是當(dāng)我們使用了nginx 作為反向代理后，使用 request.getRemoteAddr() 獲取到的就一直是nginx 服務(wù)器的ip的地址，那這時(shí)應(yīng)該怎么辦？

首先，一個(gè)請(qǐng)求肯定是可以分為請(qǐng)求頭和請(qǐng)求體的，而我們客戶端的IP地址信息一般都是存儲(chǔ)在請(qǐng)求頭里的。如果你的服務(wù)器有用Nginx做負(fù)載均衡的話，你需要在你的location里面配置X-Real-IP和X-Forwarded-For請(qǐng)求頭：

二、proxy_set_header 語(yǔ)法

語(yǔ)法：

proxy_set_header field value;

允許重新定義或者添加發(fā)往后端服務(wù)器的請(qǐng)求頭，value可以包含文本、變量或者它們的組合。當(dāng)且僅當(dāng)當(dāng)前配置級(jí)別中沒有定義proxy_set_header指令時(shí)，會(huì)從上面的級(jí)別繼承配置。

在 java端，需要獲取proxy_set_header的參數(shù)時(shí)，需要使用request.getHeader(field)，一般用來(lái)獲取真實(shí)ip地址。

總結(jié)：proxy_set_header 就是可設(shè)置請(qǐng)求頭，并將頭信息傳遞到服務(wù)器端。不屬于請(qǐng)求頭的參數(shù)中也需要傳遞時(shí)重定義下就行啦。

三、X-Real-IP

在《實(shí)戰(zhàn)nginx》中，有這么一句話：

經(jīng)過反向代理后，由于在客戶端和web服務(wù)器之間增加了中間層，因此web服務(wù)器無(wú)法直接拿到客戶端的ip，通過$remote_addr變量拿到的將是反向代理服務(wù)器的ip地址。

這句話的意思是說(shuō)，當(dāng)你使用了nginx反向服務(wù)器后，在web端使用request.getRemoteAddr()（本質(zhì)上就是獲取 r e m o t e a d d r ），取得的是 n g i n x 的地址，即 remote_addr），取得的是nginx的地址，即 remotea?ddr），取得的是nginx的地址，即remote_addr變量中封裝的是nginx的地址，當(dāng)然是沒法獲得用戶的真實(shí)ip的。

但是 nginx 是可以獲得用戶的真實(shí)ip的，也就是說(shuō)nginx使用$remote_addr變量時(shí)獲得的是用戶的真實(shí)ip，如果我們想要在web端獲得用戶的真實(shí)ip，就必須在nginx里作一個(gè)賦值操作，即我在上面的配置：

proxy_set_header X-Real-IP r e m o t e a d d r ; 　　 remote_addr; 　　 remotea?ddr;　　remote_addr 只能獲取到與服務(wù)器本身直連的上層請(qǐng)求ip，所以設(shè)置$remote_addr一般都是設(shè)置第一個(gè)代理上面。當(dāng)一個(gè)請(qǐng)求通過多個(gè)代理服務(wù)器時(shí)，用戶的IP將會(huì)被代理服務(wù)器IP覆蓋

// 在第一個(gè)代理服務(wù)器中設(shè)置
set x_real_ip=$remote_addr
// 最后一個(gè)代理服務(wù)器中獲取
$x_real_ip=IP1

但是問題是，有時(shí)候是通過 cdn 訪問過來(lái)的，那么后面web服務(wù)器獲取到的永遠(yuǎn)都是 cdn 的 ip 而非真實(shí)用戶 ip。那么這個(gè)時(shí)候就要用到X-Forwarded-For —— 這個(gè)變量的意思其實(shí)就像是鏈路反追蹤，從客戶的真實(shí)ip為起點(diǎn)，穿過多層級(jí)的proxy ，最終到達(dá)web 服務(wù)器，都會(huì)記錄下來(lái)，所以在獲取用戶真實(shí)ip的時(shí)候，一般就可以設(shè)置成

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

這樣就能獲取所有的代理 ip 和客戶 ip。

四、X-Forwarded-For

X-Forwarded-For 變量，這是一個(gè)squid開發(fā)的，用于識(shí)別通過HTTP代理或負(fù)載平衡器原始IP一個(gè)連接到Web服務(wù)器的客戶機(jī)地址的非rfc標(biāo)準(zhǔn)，如果有做X-Forwarded-For設(shè)置的話，每次經(jīng)過proxy轉(zhuǎn)發(fā)都會(huì)有記錄，格式就是 client1,proxy1,proxy2，以逗號(hào)隔開各個(gè)地址，由于它是非rfc標(biāo)準(zhǔn)，所以默認(rèn)是沒有的，需要強(qiáng)制添加。

在默認(rèn)情況下經(jīng)過proxy轉(zhuǎn)發(fā)的請(qǐng)求，在后端看來(lái)遠(yuǎn)程地址都是proxy端的ip 。也就是說(shuō)在默認(rèn)情況下我們使用request.getAttribute(“X-Forwarded-For”)獲取不到用戶的ip，如果我們想要通過這個(gè)變量獲得用戶的ip，我們需要自己在nginx添加配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

意思是增加一個(gè)KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for到X…proxy_add_x_forwarded_for的值，實(shí)際上當(dāng)你搭建兩臺(tái)nginx在不同的ip上，并且都使用了這段配置，那你會(huì)發(fā)現(xiàn)在web服務(wù)器端通過request.getAttribute(“X-Forwarded-For”)獲得的將會(huì)是客戶端ip和第一臺(tái)nginx的ip。

五、KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for又是…proxy_add_x_forwarded_for變量包含客戶端請(qǐng)求頭中的 X-Forwarded-For 與 $remote_addr兩部分，他們之間用逗號(hào)分開。

舉個(gè)例子，有一個(gè)web應(yīng)用，在它之前通過了兩個(gè)nginx轉(zhuǎn)發(fā)，www.***.com 即用戶訪問該web通過兩臺(tái) nginx。

在第一臺(tái) nginx 中使用：proxy_set_header X-Forwarded-For KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for;，…proxy_add_x_forwarded_for變量的X-Forwarded-For部分是空的，所以只有 r e m o t e a d d r ，而 remote_addr，而 remotea?ddr，而remote_addr的值是用戶的ip，于是賦值以后，X-Forwarded-For變量的值就是用戶的真實(shí)的ip地址了。

到了第二臺(tái)nginx，使用：proxy_set_header X-Forwarded-For KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for;，…proxy_add_x_forwarded_for變量，X-Forwarded-For部分包含的是用戶的真實(shí)ip，$remote_addr部分的值是上一臺(tái)nginx的ip地址，于是通過這個(gè)賦值以后現(xiàn)在的X-Forwarded-For的值就變成了“用戶的真實(shí)ip，第一臺(tái)nginx的ip”，這樣就清楚了吧。

總結(jié)：獲取客戶端的IP地址不僅可以通過proxy_set_header X-real-ip $remote_addr;獲取到，也可以通過proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

示例如下：

1、配置localtion

        location /api {
                limit_req zone=allipse burst=24000 nodelay;
                add_header 'Access-Control-Allow-Origin' '*';
                add_header 'Access-Control-Allow-Credentials' 'true';
                add_header 'Access-Control-Allow-Headers' 'x-requested-with,content-type';
                proxy_pass http://api;
                proxy_set_header   Host    $host;
                proxy_set_header   Remote_Addr    $remote_addr;
                proxy_set_header   X-Real-IP    $remote_addr;
                proxy_set_header   X-Forwarded-For    $proxy_add_x_forwarded_for;
        }

2、添加log配置

log_format  main  '客戶端真實(shí)ip: $proxy_add_x_forwarded_for - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for" "$geoip2_data_country_code" "$geoip2_data_country_name" "$geoip2_data_city_name" "$upstream_addr" "$request_time" "$upstream_response_time"';

3、查詢?nèi)罩据敵?/p>