有时候我们需要需要获得客户端真实的IP,例如认证。
一般情况下,在tomcat中获得HTTP访问时客户端的IP方法如下:
httpServletRequest.getRemoteHost()
然而,经常我们会配置Apache或nginx代理,这时候就通过上面的方法就无法获得真实的客户端IP。通过nginx代理,通过httpServletRequest.getRemoteHost()获得是代理服务器的地址,Apache是客户端真实的IP。
nginx下的配置
对于nginx,我们可以通过一下配置:
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
这样,在HTTP的header中就增加了一个X-Forwarded-For,这个保存着客户端的真实IP,然后在tomcat中通过以下方法:
String host = httpServletRequest.getHeader("X-Forwarded-For");
host = null == host ? httpServletRequest.getRemoteHost() : host;
Apache下的配置
通过Apache代理时,Apache会自动增加X-Forwarded-For作为客户端的IP,但这个IP虽然是客户端IP,但不是客户端真实的IP,如果客户端在内网,这个IP则是客户端内网的IP,为了解决这个问题,在Apache代理前激将X-Forwarded-For禁止,这样依旧可以通过httpServletRequest.getRemoteHost()获得客户端的真实IP。由于Tomcat中无法知道是通过Apache代理还是nginx代理,所有,还是通过上面的方式进行IP的获得。Apache的配置如下:
RequestHeader unset X-Forwarded-For
这样就可以解决代理情况下获取IP的问题。
考虑到各种代理情况,经过修正后的获取ip地址的完整代码如下:
public static String getIpAddr(HttpServletRequest request) {
String ip = request.getHeader(" x-forwarded-for ");
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("Proxy-Client-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getHeader("WL-Proxy-Client-IP");
}
if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
ip = request.getRemoteAddr();
}
if (ip != null && ip.length() > 0){
String[] ips = ip.split(",");
for(int i=0;i<ips.length;i++){
if(ips[i].trim().length() > 0 && !"unknown".equalsIgnoreCase(ips[i].trim())){
ip = ips[i].trim();
break;
}
}
}
return ip;
}
这样就可以完整地支持各类代理上网的ip地址获取了。