淺析Nginx配置獲取客戶端真實IP的proxy_set_header、X-Real-IP、$remote_addr、X-Forwarded-For、$proxy_add_x_forwarded_for分別是什么意思


一、問題背景

  在實際應用中,我們可能需要獲取用戶的ip地址,比如做異地登陸的判斷,或者統計ip訪問次數等,通常情況下我們使用 request.getRemoteAddr() 就可以獲取到客戶端ip,但是當我們使用了nginx 作為反向代理后,使用 request.getRemoteAddr() 獲取到的就一直是nginx 服務器的ip的地址,那這時應該怎么辦?

  首先,一個請求肯定是可以分為請求頭和請求體的,而我們客戶端的IP地址信息一般都是存儲在請求頭里的。如果你的服務器有用Nginx做負載均衡的話,你需要在你的location里面配置X-Real-IPX-Forwarded-For請求頭:

二、proxy_set_header 語法

  語法:proxy_set_header field value;

  允許重新定義或者添加發往后端服務器的請求頭value 可以包含文本、變量或者它們的組合。當且僅當當前配置級別中沒有定義proxy_set_header 指令時,會從上面的級別繼承配置。

  在 java端,需要獲取proxy_set_header的參數時,需要使用request.getHeader(field),一般用來獲取真實ip地址。

  總結:proxy_set_header 就是可設置請求頭,並將頭信息傳遞到服務器端。不屬於請求頭的參數中也需要傳遞時重定義下就行啦。

三、X-Real-IP

在《實戰nginx》中,有這么一句話:

經過反向代理后,由於在客戶端和web服務器之間增加了中間層,因此web服務器無法直接拿到客戶端的ip,通過$remote_addr變量拿到的將是反向代理服務器的ip地址。

  這句話的意思是說,當你使用了nginx反向服務器后,在web端使用request.getRemoteAddr()(本質上就是獲取$remote_addr),取得的是nginx的地址,即$remote_addr變量中封裝的是nginx的地址,當然是沒法獲得用戶的真實ip的。

  但是 nginx 是可以獲得用戶的真實ip的,也就是說nginx使用$remote_addr變量時獲得的是用戶的真實ip,如果我們想要在web端獲得用戶的真實ip,就必須在nginx里作一個賦值操作,即我在上面的配置:

proxy_set_header X-Real-IP $remote_addr;

  $remote_addr 只能獲取到與服務器本身直連的上層請求ip所以設置$remote_addr一般都是設置第一個代理上面。當一個請求通過多個代理服務器時,用戶的IP將會被代理服務器IP覆蓋

// 在第一個代理服務器中設置
set x_real_ip=$remote_addr // 最后一個代理服務器中獲取
$x_real_ip=IP1

  但是問題是,有時候是通過 cdn 訪問過來的,那么后面web服務器獲取到的永遠都是 cdn 的 ip 而非真實用戶 ip。那么這個時候就要用到X-Forwarded-For —— 這個變量的意思其實就像是鏈路反追蹤,從客戶的真實ip為起點,穿過多層級的proxy ,最終到達web 服務器,都會記錄下來,所以在獲取用戶真實ip的時候,一般就可以設置成

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  這樣就能獲取所有的代理 ip 和客戶 ip。

四、X-Forwarded-For

  X-Forwarded-For 變量,這是一個squid開發的,用於識別通過HTTP代理或負載平衡器原始IP一個連接到Web服務器的客戶機地址的非rfc標准,如果有做X-Forwarded-For設置的話,每次經過proxy轉發都會有記錄,格式就是 client1,proxy1,proxy2,以逗號隔開各個地址,由於它是非rfc標准,所以默認是沒有的,需要強制添加。

  在默認情況下經過proxy轉發的請求,在后端看來遠程地址都是proxy端的ip 。也就是說在默認情況下我們使用request.getAttribute("X-Forwarded-For")獲取不到用戶的ip,如果我們想要通過這個變量獲得用戶的ip,我們需要自己在nginx添加配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  意思是增加一個$proxy_add_x_forwarded_for到X-Forwarded-For里去,注意是增加,而不是覆蓋,當然由於默認的X-Forwarded-For值是空的,所以我們總感覺X-Forwarded-For的值就等於$proxy_add_x_forwarded_for的值,實際上當你搭建兩台nginx在不同的ip上,並且都使用了這段配置,那你會發現在web服務器端通過request.getAttribute("X-Forwarded-For")獲得的將會是客戶端ip和第一台nginx的ip。

五、$proxy_add_x_forwarded_for又是什么?

  $proxy_add_x_forwarded_for 變量包含客戶端請求頭中的 X-Forwarded-For$remote_addr 兩部分,他們之間用逗號分開。

  舉個例子,有一個web應用,在它之前通過了兩個nginx轉發,www.***.com 即用戶訪問該web通過兩台 nginx。

  在第一台 nginx 中使用:proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;,現在的$proxy_add_x_forwarded_for變量的X-Forwarded-For部分是空的,所以只有$remote_addr,而$remote_addr的值是用戶的ip,於是賦值以后,X-Forwarded-For變量的值就是用戶的真實的ip地址了。

  到了第二台nginx,使用:proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;,現在的$proxy_add_x_forwarded_for變量,X-Forwarded-For部分包含的是用戶的真實ip,$remote_addr部分的值是上一台nginx的ip地址,於是通過這個賦值以后現在的X-Forwarded-For的值就變成了“用戶的真實ip,第一台nginx的ip”,這樣就清楚了吧。

  總結:獲取客戶端的IP地址不僅可以通過proxy_set_header    X-real-ip $remote_addr;獲取到,也可以通過proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM