linux 獲取經過N層Nginx轉發的訪問來源真實IP

linux 獲取經過N層Nginx轉發的訪問來源真實IP

通常系統出於安全考慮,需要進行許可權(賬號、密碼)和IP白名單控制。如何獲取訪問來源真實的IP,如果公司網路入口設定負載,自己系統設定nginx代理等操作,會使你達到目的不那麼簡單直接。

通常情況下我們使用request.getRemoteAddr()就可以獲取到客戶端ip,但是當我們使用了nginx作為反向代理後,由於在客戶端和web伺服器之間增加了中間層,因此web伺服器無法直接拿到客戶端的ip,通過$remote_addr變數拿到的將是反向代理伺服器的ip地址。如果我們想要在web端獲得使用者的真實ip,就必須在nginx這裡作一個賦值操作,如下:
proxy_set_header            X-real-ip $remote_addr;
其中這個X-real-ip是一個自定義的變數名,這樣使用者的真實ip就被放在X-real-ip這個變數裡了,然後,在web端可以這樣獲取:request.getAttribute(“X-real-ip”)。但是如果中間經過N次代理過來的請求,X-real-ip就只能獲得到前一層代理的IP(10.6.61.14)了,下面是我的解決方案:

紅色部分IP是使用X-Forwarded-For(簡稱XFF頭)獲取的:,它代表客戶端,也就是HTTP的請求端真實的IP,只有在通過了HTTP
代理或者負載均衡伺服器時才會新增該項(沒有經過的獲取為空)標準格式如下:
X-Forwarded-For: client1, proxy1, proxy2
從標準格式可以看出,X-Forwarded-For頭資訊可以有多個,中間用逗號分隔,第一項為真實的客戶端ip,剩下的就是曾經經過的代理或負載均衡的ip地址,經過幾個就會出現幾個。
我的Nginx具體配置如下:

關於引數含義:
proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
意思是增加(不是覆蓋)一個$proxy_add_x_forwarded_for到X-Forwarded-For裡去。
舉個例子,有一個web應用,在它之前通過了兩個nginx轉發。在第一臺nginx中,使用
proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
現在的$proxy_add_x_forwarded_for變數的”X-Forwarded-For”部分是空的,所以只有$remote_addr,而$remote_addr的值是使用者的ip,於是賦值以後,X-Forwarded-For變數的值就是使用者的真實的ip地址了。
到了第二臺nginx,使用
proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
現在的$proxy_add_x_forwarded_for變數,X-Forwarded-For部分包含的是使用者的真實ip,$remote_addr部分的值是上一臺nginx的ip地址,於是通過這個賦值以後現在的X-Forwarded-For的值就變成了“使用者的真實ip,第一臺nginx的ip”。

所以我在程式中使用request.getHeader(“x-forwarded-for”).toString().split(“,”)[0]就能獲取到訪問客戶的真實IP,不用擔心前面有幾層轉發啦。