基于nginx獲取代理服務ip以及客戶端真實ip詳解
目錄
- 一、問題背景
- 二、proxy_set_header 語法
- 三、X-Real-IP
- 四、X-Forwarded-For
- 總結
一、問題背景
在實際應用中,我們可能需要獲取用戶的ip地址,比如做異地登陸的判斷,或者統計ip訪問次數等,通常情況下我們使用 request.getRemoteAddr() 就可以獲取到客戶端ip,但是當我們使用了nginx 作為反向代理后,使用 request.getRemoteAddr() 獲取到的就一直是nginx 服務器的ip的地址,那這時應該怎么辦?
首先,一個請求肯定是可以分為請求頭和請求體的,而我們客戶端的IP地址信息一般都是存儲在請求頭里的。如果你的服務器有用Nginx做負載均衡的話,你需要在你的location里面配置X-Real-IP和X-Forwarded-For請求頭:
二、proxy_set_header 語法
語法:
proxy_set_header field value;
允許重新定義或者添加發往后端服務器的請求頭,value可以包含文本、變量或者它們的組合。當且僅當當前配置級別中沒有定義proxy_set_header指令時,會從上面的級別繼承配置。
在 java端,需要獲取proxy_set_header的參數時,需要使用request.getHeader(field),一般用來獲取真實ip地址。
總結:proxy_set_header 就是可設置請求頭,并將頭信息傳遞到服務器端。不屬于請求頭的參數中也需要傳遞時重定義下就行啦。
三、X-Real-IP
在《實戰nginx》中,有這么一句話:
經過反向代理后,由于在客戶端和web服務器之間增加了中間層,因此web服務器無法直接拿到客戶端的ip,通過$remote_addr變量拿到的將是反向代理服務器的ip地址。
這句話的意思是說,當你使用了nginx反向服務器后,在web端使用request.getRemoteAddr()(本質上就是獲取 r e m o t e a d d r ) , 取 得 的 是 n g i n x 的 地 址 , 即 remote_addr),取得的是nginx的地址,即 remotea?ddr),取得的是nginx的地址,即remote_addr變量中封裝的是nginx的地址,當然是沒法獲得用戶的真實ip的。
但是 nginx 是可以獲得用戶的真實ip的,也就是說nginx使用$remote_addr變量時獲得的是用戶的真實ip,如果我們想要在web端獲得用戶的真實ip,就必須在nginx里作一個賦值操作,即我在上面的配置:
proxy_set_header X-Real-IP r e m o t e a d d r ; remote_addr; remotea?ddr; remote_addr 只能獲取到與服務器本身直連的上層請求ip,所以設置$remote_addr一般都是設置第一個代理上面。當一個請求通過多個代理服務器時,用戶的IP將會被代理服務器IP覆蓋
// 在第一個代理服務器中設置set x_real_ip=$remote_addr// 最后一個代理服務器中獲取$x_real_ip=IP1
但是問題是,有時候是通過 cdn 訪問過來的,那么后面web服務器獲取到的永遠都是 cdn 的 ip 而非真實用戶 ip。那么這個時候就要用到X-Forwarded-For —— 這個變量的意思其實就像是鏈路反追蹤,從客戶的真實ip為起點,穿過多層級的proxy ,最終到達web 服務器,都會記錄下來,所以在獲取用戶真實ip的時候,一般就可以設置成
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
這樣就能獲取所有的代理 ip 和客戶 ip。
四、X-Forwarded-For
X-Forwarded-For 變量,這是一個squid開發的,用于識別通過HTTP代理或負載平衡器原始IP一個連接到Web服務器的客戶機地址的非rfc標準,如果有做X-Forwarded-For設置的話,每次經過proxy轉發都會有記錄,格式就是 client1,proxy1,proxy2,以逗號隔開各個地址,由于它是非rfc標準,所以默認是沒有的,需要強制添加。
在默認情況下經過proxy轉發的請求,在后端看來遠程地址都是proxy端的ip 。也就是說在默認情況下我們使用request.getAttribute(“X-Forwarded-For”)獲取不到用戶的ip,如果我們想要通過這個變量獲得用戶的ip,我們需要自己在nginx添加配置:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
意思是增加一個KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for到X…proxy_add_x_forwarded_for的值,實際上當你搭建兩臺nginx在不同的ip上,并且都使用了這段配置,那你會發現在web服務器端通過request.getAttribute(“X-Forwarded-For”)獲得的將會是客戶端ip和第一臺nginx的ip。
五、KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for又是…proxy_add_x_forwarded_for變量包含客戶端請求頭中的 X-Forwarded-For 與 $remote_addr兩部分,他們之間用逗號分開。
舉個例子,有一個web應用,在它之前通過了兩個nginx轉發,www.***.com 即用戶訪問該web通過兩臺 nginx。
在第一臺 nginx 中使用:proxy_set_header X-Forwarded-For KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for;,…proxy_add_x_forwarded_for變量的X-Forwarded-For部分是空的,所以只有 r e m o t e a d d r , 而 remote_addr,而 remotea?ddr,而remote_addr的值是用戶的ip,于是賦值以后,X-Forwarded-For變量的值就是用戶的真實的ip地址了。
到了第二臺nginx,使用:proxy_set_header X-Forwarded-For KaTeX parse error: Double subscript at position 12: proxy_add_x_?forwarded_for;,…proxy_add_x_forwarded_for變量,X-Forwarded-For部分包含的是用戶的真實ip,$remote_addr部分的值是上一臺nginx的ip地址,于是通過這個賦值以后現在的X-Forwarded-For的值就變成了“用戶的真實ip,第一臺nginx的ip”,這樣就清楚了吧。
總結:獲取客戶端的IP地址不僅可以通過proxy_set_header X-real-ip $remote_addr;獲取到,也可以通過proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
示例如下:
1、配置localtion
location /api {limit_req zone=allipse burst=24000 nodelay;add_header "Access-Control-Allow-Origin" "*";add_header "Access-Control-Allow-Credentials" "true";add_header "Access-Control-Allow-Headers" "x-requested-with,content-type";proxy_pass http://api;proxy_set_header Host $host;proxy_set_header Remote_Addr $remote_addr;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;}2、添加log配置
log_format main "客戶端真實ip: $proxy_add_x_forwarded_for - $remote_user [$time_local] "$request" " "$status $body_bytes_sent "$http_referer" " ""$http_user_agent" "$http_x_forwarded_for" "$geoip2_data_country_code" "$geoip2_data_country_name" "$geoip2_data_city_name" "$upstream_addr" "$request_time" "$upstream_response_time"";
3、查詢日志輸出
總結
到此這篇關于基于nginx獲取代理服務ip以及客戶端真實ip的文章就介紹到這了,更多相關nginx獲取代理服務ip內容請搜索以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持!
網公網安備