获取客户端的真实IP(而非代理服务器IP)的一个实例

先了解一下问题所属项目:

api接口由php开发。

proxy服务由java开发,部署在proxy的tomcat服务下。

现在说一下遇到的问题:

在api程序中,某个业务场景需要通过获取用户app的真实ip,因为中间通过代理代理服务器,用REMOTE_ADDR 头信息肯定获取不到app的ip,从google上查询http请求的头信息字段HTTP-X-FORWARDED-FOR存储的是客户端的原始ip地址,试了试还是不行,这样获取的还是代理服务器的ip地址。

解决思路:

1.有没有其它头信息字段是保存源头ip的?答案:没有。

2. Proxy程序通过HTTP-X-FORWARDED-FOR能否获取到客户端的ip呢?

去真实打log查看之前,想当然以为肯定是可以的,但是结果却使不可以。是因为app访问代理服务器的程序是部署在apache下的,但是中间经历了同样在代理服务器上的nginx反向代理,这样就导致proxy程序获取的HTTP-X-FORWARDED-FOR其实是apache服务的ip地址。

那能不能把app至nginx请求的HTTP-X-FORWARDED-FOR值转给apache呢?答案是肯定的,通过对nginx的代理配置进行简单修改即可, proxy服务器上nginx配置如下(红色字体的语句是加上的,解决了该问题):

server {

       listen 80;

       server_name    ***.com;

       location ~ /{

         proxy_set_header Connection "";

         proxy_set_header Host $host;

         proxy_set_header X-Forwarded-For $http_x_forwarded_for;

         proxy_pass http://**proxy;

       }

   }

     upstream wdproxy{

       server **.**.**.**:2200 max_fails=2 fail_timeout=30s;

   }

3.通过上一步,可以保证在proxy的程序中能获取正确的包含app真实ip的HTTP-X-FORWARDED-FOR头信息了,那么在向api服务器发请求时,通过程序语句设置HTTP-X-FORWARDED-FOR为这个正确的值不就ok了吗!!!

想着容易,可以实现又遇到了困难,发现tomcat的request根本没有提供set**方法,也就是没法去自己设置发出http请求的头信息。

4.没关系,实现功能是最重要的,哪怕不是那么完美。既然不能设置头信息,通过一个普通的请求参数总可以吧,于是在proxy应用程序向api的所有请求中,增加一个叫做x-forwarded-for的参数,在api程序中轻松获取到,然后结合具体场景进行使用就ok了。

相关话题:

这种通过HTTP-X-FORWARDED-FOR头信息获取ip的方式其实是存在安全问题的,因为用户可以伪造这个头信息,甚至能进行sql注入攻击。例如:我们经常遇到网上投票的场景,都需要根据ip防止恶意多投,如果只是采用HTTP-X-FORWARDED-FOR来获取真实ip,就会遇到问题。总之一个技术方案的好与坏要结合具体场景来看。