Java获取HttpServletRequest真实的调用ip

有时候我们需要获取Http请求的源IP，但由于有着各种代理，与反向代理，还有代理请求头标准的缺失，导致我们想拿到真正的ip变得更加困难。这篇文章来总结下一个目前可行的比较全面的通用方法。

首先，真实调用的ip，应该不是内网ip，并且考虑到客户端多样性，我们从通用的Header出发，并也考虑各种常见客户端的自定义Header。

验证IP有效

有效ip范围是，1.0.0.0~255.255.255.255；这个网上可以找到很多正则表达式，但是或多或少的有些不全面，例如有的正则表达式认为"0.0.0.0"也是有效ip。联想到其实可以通过数值转换实现这个判断：判断.分割的一共有四个字符串，每个字符串都是数字并且第一个在1~255之间，后面三个在0~255之间，也可以实现，我们对比下速度，分别执行JMH程序：

正则表达式版本

public static final String IP_SEG = "(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"; public static final Pattern pattern = Pattern.compile("^(?:" + IP_SEG + "\\.){3}" + IP_SEG + "$"); @Benchmark @BenchmarkMode(Mode.AverageTime) @OutputTimeUnit(TimeUnit.MILLISECONDS) public void testPattern() { for (int i = 0; i < ; i++) { pattern.matcher("").matches(); pattern.matcher("172.14.156.1").matches(); pattern.matcher("x.14.156.1").matches(); pattern.matcher("0.14.156.1").matches(); pattern.matcher("1.14.156.1").matches(); pattern.matcher("001.14.156.1").matches(); pattern.matcher("192.14.156.1145").matches(); } }

分段判断版本：

public static boolean validIp(String ip) { String[] split = ip.split("\\."); if (split.length != 4) { return false; } try { long first = Long.valueOf(split[0]); long second = Long.valueOf(split[1]); long third = Long.valueOf(split[2]); long fourth = Long.valueOf(split[3]); return first < 256 && first > 0 && second < 256 && second >= 0 && third < 256 && third >= 0 && fourth < 256 && fourth >= 0; } catch (NumberFormatException e) { return false; } } @Benchmark @BenchmarkMode(Mode.AverageTime) @OutputTimeUnit(TimeUnit.MILLISECONDS) public void testParse() { for (int i = 0; i < ; i++) { pattern.matcher("").matches(); pattern.matcher("172.14.156.1").matches(); pattern.matcher("x.14.156.1").matches(); pattern.matcher("0.14.156.1").matches(); pattern.matcher("1.14.156.1").matches(); pattern.matcher("001.14.156.1").matches(); pattern.matcher("192.14.156.1145").matches(); } }

正则表达式结果：

BenchmarkModeCnt ScoreErrorUnits BenchMark.testParseavgt54184.071 ± 3029.729ms/op

分段判断结果：

BenchmarkModeCnt ScoreErrorUnits BenchMark.testPatternavgt53814.377 ± 2835.809ms/op

分段版本在这里看上去好一些，但是实际其实可能相差不大的。反正证明，这种朴素的分段判断方法，性能上没有太大问题。

验证非内网Ip

在验证已经是有效IP的基础上，实现判断是否是内网IP有三种方法：

正则表达式分段判断分段移位判断（第一位左移24+第二位左移16+第三位左移8+第四位，看范围是否在内网ip范围）

在判断已经是IP的基础上，这三种方法都会简化很多，我们这里采用分段判断。

获取IP

可能的Header(HTTP Header不区分大小写):

x-forwarded-for：这个是通用的代理Header，一般是逗号分割的多个ip，第一个一般是真实ipx-real-ip: Nginx代理一般会填写这个Header，标注真实的ipProxy-Client-IP和WL- Proxy-Client-IP:这个一般是经过apache http服务器的请求才会有，用apache http做代理时一般会加上Proxy-Client-IP请求头，而WL- Proxy-Client-IP是他的weblogic插件加上的头HTTP_CLIENT_IP:出自TCP/IP应用协议里面提到的概念定义的Header，某些代理使用这个Header填写真实IPHTTP_X_FORWARDED_FOR:新的HTTP协议中定义的标准x-forwarded-for，但是比较早出现的没有这个Header

如果上面的Header都没有，那么就从RemoteAddress里面去拿，这是最后的选择。

/** * 获取真实ip * * @param request HttpServletRequest * @param acceptInnerIp 是否可以返回内网ip * @return 真实ip */ public static String getRemoteIpByServletRequest(HttpServletRequest request, boolean acceptInnerIp) { String ip = request.getHeader("x-forwarded-for"); if (StringUtils.isNotBlank(ip)) { // 多次反向代理后会有多个ip值，第一个ip才是真实ip if (ip.indexOf(",") != -1) { ip = ip.split(",")[0]; } } if (isIpValid(ip)) { return ip; } ip = request.getHeader("Proxy-Client-IP"); if (isIpValid(ip)) { return ip; } ip = request.getHeader("WL-Proxy-Client-IP"); if (isIpValid(ip)) { return ip; } ip = request.getHeader("HTTP_CLIENT_IP"); if (isIpValid(ip)) { return ip; } ip = request.getHeader("HTTP_X_FORWARDED_FOR"); if (isIpValid(ip)) { return ip; } ip = request.getHeader("X-Real-IP"); if (isIpValid(ip)) { return ip; } ip = request.getRemoteAddr(); return ip; } /** * 判断是否有效 * @param ip ip * @param acceptInnerIp 是否接受内网ip * @return */ private static boolean isIpValid(String ip, boolean acceptInnerIp) { return acceptInnerIp ? isIpValid(ip) : isIpValidAndNotPrivate(ip); } /** * 仅仅判断ip是否有效 * @param ip * @return */ private static boolean isIpValid(String ip) { if (StringUtils.isBlank(ip)) { return false; } String[] split = ip.split("\\."); if (split.length != 4) { return false; } try { long first = Long.valueOf(split[0]); long second = Long.valueOf(split[1]); long third = Long.valueOf(split[2]); long fourth = Long.valueOf(split[3]); return first < 256 && first > 0 && second < 256 && second >= 0 && third < 256 && third >= 0 && fourth < 256 && fourth >= 0; } catch (NumberFormatException e) { return false; } } /** * 判断ip是否有效，并且不是内网ip * @param ip * @return */ private static boolean isIpValidAndNotPrivate(String ip) { if (StringUtils.isBlank(ip)) { return false; } String[] split = ip.split("\\."); try { long first = Long.valueOf(split[0]); long second = Long.valueOf(split[1]); long third = Long.valueOf(split[2]); long fourth = Long.valueOf(split[3]); if (first < 256 && first > 0 && second < 256 && second >= 0 && third < 256 && third >= 0 && fourth < 256 && fourth >= 0) { if (first == 10) { return false; } if (first == 172 && (second >= 16 && second <= 31)) { return false; } if (first == 192 && second == 168) { return false; } return true; } return false; } catch (NumberFormatException e) { return false; } }