快捷導(dǎo)航

Nginx 獲取客戶端真實(shí)IP $remote_addr與X-Forwarded-For的實(shí)現(xiàn)

更新時(shí)間：2024年03月19日 10:20:02 作者：富士康質(zhì)檢員張全蛋

我們大多數(shù)情況下訪問服務(wù)時(shí),客戶端并不是直接訪問到服務(wù)器的,本文主要介紹了Nginx 獲取客戶端真實(shí)IP $remote_addr與X-Forwarded-For的實(shí)現(xiàn),具有一定的參考價(jià)值,感興趣的可以了解一下

nginx配置

首先，一個(gè)請(qǐng)求肯定是可以分為請(qǐng)求頭和請(qǐng)求體的，而我們客戶端的IP地址信息一般都是存儲(chǔ)在請(qǐng)求頭里的。如果你的服務(wù)器有用Nginx做負(fù)載均衡的話，你需要在你的location里面配置X-Real-IP和X-Forwarded-For請(qǐng)求頭：

        location ^~ /your-service/ {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_pass http://localhost:60000/your-service/;
        }

X-Real-IP

在《實(shí)戰(zhàn)nginx》中，有這么一句話：

經(jīng)過反向代理后，由于在客戶端和web服務(wù)器之間增加了中間層，因此web服務(wù)器無法直接拿到客戶端的ip，通過$remote_addr變量拿到的將是反向代理服務(wù)器的ip地址。

這句話的意思是說，當(dāng)你使用了nginx反向服務(wù)器后，在web端使用request.getRemoteAddr()（本質(zhì)上就是獲取$remote_addr），取得的是nginx的地址，即$remote_addr變量中封裝的是nginx的地址，當(dāng)然是沒法獲得用戶的真實(shí)ip的。但是，nginx是可以獲得用戶的真實(shí)ip的，也就是說nginx使用$remote_addr變量時(shí)獲得的是用戶的真實(shí)ip，如果我們想要在web端獲得用戶的真實(shí)ip，就必須在nginx里作一個(gè)賦值操作，即我在上面的配置：

proxy_set_header X-Real-IP $remote_addr;

$remote_addr 只能獲取到與服務(wù)器本身直連的上層請(qǐng)求ip，所以設(shè)置$remote_addr一般都是設(shè)置第一個(gè)代理上面;但是問題是，有時(shí)候是通過cdn訪問過來的，那么后面web服務(wù)器獲取到的，永遠(yuǎn)都是cdn 的ip 而非真是用戶ip,那么這個(gè)時(shí)候就要用到X-Forwarded-For 了，這個(gè)變量的意思，其實(shí)就像是鏈路反追蹤，從客戶的真實(shí)ip為起點(diǎn)，穿過多層級(jí)的proxy ，最終到達(dá)web 服務(wù)器，都會(huì)記錄下來，所以在獲取用戶真實(shí)ip的時(shí)候，一般就可以設(shè)置成，proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 這樣就能獲取所有的代理ip 客戶ip。

X-Forwarded-For

X-Forwarded-For變量，這是一個(gè)squid開發(fā)的，用于識(shí)別通過HTTP代理或負(fù)載平衡器原始IP一個(gè)連接到Web服務(wù)器的客戶機(jī)地址的非rfc標(biāo)準(zhǔn)，如果有做X-Forwarded-For設(shè)置的話,每次經(jīng)過proxy轉(zhuǎn)發(fā)都會(huì)有記錄,格式就是client1,proxy1,proxy2以逗號(hào)隔開各個(gè)地址，由于它是非rfc標(biāo)準(zhǔn)，所以默認(rèn)是沒有的，需要強(qiáng)制添加。在默認(rèn)情況下經(jīng)過proxy轉(zhuǎn)發(fā)的請(qǐng)求，在后端看來遠(yuǎn)程地址都是proxy端的ip 。也就是說在默認(rèn)情況下我們使用request.getAttribute("X-Forwarded-For")獲取不到用戶的ip，如果我們想要通過這個(gè)變量獲得用戶的ip，我們需要自己在nginx添加配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

意思是增加一個(gè)$proxy_add_x_forwarded_for到X-Forwarded-For里去，注意是增加，而不是覆蓋，當(dāng)然由于默認(rèn)的X-Forwarded-For值是空的，所以我們總感覺X-Forwarded-For的值就等于$proxy_add_x_forwarded_for的值，實(shí)際上當(dāng)你搭建兩臺(tái)nginx在不同的ip上，并且都使用了這段配置，那你會(huì)發(fā)現(xiàn)在web服務(wù)器端通過request.getAttribute("X-Forwarded-For")獲得的將會(huì)是客戶端ip和第一臺(tái)nginx的ip。

那么$proxy_add_x_forwarded_for又是什么？

$proxy_add_x_forwarded_for變量包含客戶端請(qǐng)求頭中的X-Forwarded-For與$remote_addr兩部分，他們之間用逗號(hào)分開。

舉個(gè)例子，有一個(gè)web應(yīng)用，在它之前通過了兩個(gè)nginx轉(zhuǎn)發(fā)，www.linuxidc.com即用戶訪問該web通過兩臺(tái)nginx。

在第一臺(tái)nginx中,使用：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

現(xiàn)在的$proxy_add_x_forwarded_for變量的X-Forwarded-For部分是空的，所以只有$remote_addr，而$remote_addr的值是用戶的ip，于是賦值以后，X-Forwarded-For變量的值就是用戶的真實(shí)的ip地址了。

到了第二臺(tái)nginx，使用：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

現(xiàn)在的$proxy_add_x_forwarded_for變量，X-Forwarded-For部分包含的是用戶的真實(shí)ip，$remote_addr部分的值是上一臺(tái)nginx的ip地址，于是通過這個(gè)賦值以后現(xiàn)在的X-Forwarded-For的值就變成了“用戶的真實(shí)ip，第一臺(tái)nginx的ip”，這樣就清楚了吧。

舉個(gè)例子說明 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

192.168.179.99->192.168.179.100->192.168.179.101->192.168.179.102（102為最后的服務(wù)端）

192.168.179.99配置
      location /{
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass http://192.168.179.100;
     }


192.168.179.100配置
      location /{
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass http://192.168.179.101;
     }


192.168.179.101配置
      location /{
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass http://192.168.179.102;
     }


192.168.179.102配置
在日志中設(shè)置打印$http_x_forwarded_for，進(jìn)行觀察
 log_format  main  '$http_x_forwarded_for|$http_x_real_ip|$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

(1)客戶端使用瀏覽器去訪問192.168.179.99服務(wù)端192.168.179.102日志如下，可以看到獲取到客戶端的IP為192.168.179.4
192.168.179.4, 192.168.179.99, 192.168.179.100|-|192.168.179.101 - - [26/Apr/2020:10:57:22 +0800] "GET / HTTP/1.0" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.122 Safari/537.36" "192.168.179.4, 192.168.179.99, 192.168.179.100"

（2）客戶端192.168.179.103去訪問192.168.179.99服務(wù)端192.168.179.102日志如下，可以看到獲取到客戶端的IP為192.168.179.103
192.168.179.103, 192.168.179.99, 192.168.179.100|-|192.168.179.101 - - [26/Apr/2020:10:57:32 +0800] "GET / HTTP/1.0" 200 4833 "-" "curl/7.29.0" "192.168.179.103, 192.168.179.99, 192.168.179.100"

到此這篇關(guān)于Nginx 獲取客戶端真實(shí)IP $remote_addr與X-Forwarded-For的實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Nginx IP $remote_addr X-Forwarded-For內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: