首頁 > 軟體

基於nginx獲取代理服務ip以及使用者端真實ip詳解

2022-07-19 14:05:44

一、問題背景

在實際應用中,我們可能需要獲取使用者的ip地址,比如做異地登陸的判斷,或者統計ip存取次數等,通常情況下我們使用 request.getRemoteAddr() 就可以獲取到使用者端ip,但是當我們使用了nginx 作為反向代理後,使用 request.getRemoteAddr() 獲取到的就一直是nginx 伺服器的ip的地址,那這時應該怎麼辦?

首先,一個請求肯定是可以分為請求頭和請求體的,而我們使用者端的IP地址資訊一般都是儲存在請求頭裡的。如果你的伺服器有用Nginx做負載均衡的話,你需要在你的location裡面設定X-Real-IP和X-Forwarded-For請求頭:

二、proxy_set_header 語法

語法:

proxy_set_header field value;

允許重新定義或者新增發往後端伺服器的請求頭,value可以包含文字、變數或者它們的組合。當且僅當當前設定級別中沒有定義proxy_set_header指令時,會從上面的級別繼承設定。

在 java端,需要獲取proxy_set_header的引數時,需要使用request.getHeader(field),一般用來獲取真實ip地址。

總結:proxy_set_header 就是可設定請求頭,並將頭資訊傳遞到伺服器端。不屬於請求頭的引數中也需要傳遞時重定義下就行啦。

三、X-Real-IP

在《實戰nginx》中,有這麼一句話:

經過反向代理後,由於在使用者端和web伺服器之間增加了中間層,因此web伺服器無法直接拿到使用者端的ip,通過$remote_addr變數拿到的將是反向代理伺服器的ip地址。

這句話的意思是說,當你使用了nginx反向伺服器後,在web端使用request.getRemoteAddr()(本質上就是獲取 r e m o t e a d d r ) , 取 得 的 是 n g i n x 的 地 址 , 即 remote_addr),取得的是nginx的地址,即 remotea​ddr),取得的是nginx的地址,即remote_addr變數中封裝的是nginx的地址,當然是沒法獲得使用者的真實ip的。

但是 nginx 是可以獲得使用者的真實ip的,也就是說nginx使用$remote_addr變數時獲得的是使用者的真實ip,如果我們想要在web端獲得使用者的真實ip,就必須在nginx裡作一個賦值操作,即我在上面的設定:

proxy_set_header X-Real-IP r e m o t e a d d r ;     remote_addr;    remotea​ddr;  remote_addr 只能獲取到與伺服器本身直連的上層請求ip,所以設定$remote_addr一般都是設定第一個代理上面。當一個請求通過多個代理伺服器時,使用者的IP將會被代理伺服器IP覆蓋

// 在第一個代理伺服器中設定
set x_real_ip=$remote_addr
// 最後一個代理伺服器中獲取
$x_real_ip=IP1

但是問題是,有時候是通過 cdn 存取過來的,那麼後面web伺服器獲取到的永遠都是 cdn 的 ip 而非真實使用者 ip。那麼這個時候就要用到X-Forwarded-For —— 這個變數的意思其實就像是鏈路反追蹤,從客戶的真實ip為起點,穿過多層級的proxy ,最終到達web 伺服器,都會記錄下來,所以在獲取使用者真實ip的時候,一般就可以設定成

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

這樣就能獲取所有的代理 ip 和客戶 ip。

四、X-Forwarded-For

X-Forwarded-For 變數,這是一個squid開發的,用於識別通過HTTP代理或負載平衡器原始IP一個連線到Web伺服器的客戶機地址的非rfc標準,如果有做X-Forwarded-For設定的話,每次經過proxy轉發都會有記錄,格式就是 client1,proxy1,proxy2,以逗號隔開各個地址,由於它是非rfc標準,所以預設是沒有的,需要強制新增。

在預設情況下經過proxy轉發的請求,在後端看來遠端地址都是proxy端的ip 。也就是說在預設情況下我們使用request.getAttribute(“X-Forwarded-For”)獲取不到使用者的ip,如果我們想要通過這個變數獲得使用者的ip,我們需要自己在nginx新增設定:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

意思是增加一個KaTeX parse error: Double subscript at position 12: proxy_add_x_̲forwarded_for到X…proxy_add_x_forwarded_for的值,實際上當你搭建兩臺nginx在不同的ip上,並且都使用了這段設定,那你會發現在web伺服器端通過request.getAttribute(“X-Forwarded-For”)獲得的將會是使用者端ip和第一臺nginx的ip。

五、KaTeX parse error: Double subscript at position 12: proxy_add_x_̲forwarded_for又是…proxy_add_x_forwarded_for變數包含使用者端請求頭中的 X-Forwarded-For 與 $remote_addr兩部分,他們之間用逗號分開。

舉個例子,有一個web應用,在它之前通過了兩個nginx轉發,www.***.com 即使用者存取該web通過兩臺 nginx。

在第一臺 nginx 中使用:proxy_set_header X-Forwarded-For KaTeX parse error: Double subscript at position 12: proxy_add_x_̲forwarded_for;,…proxy_add_x_forwarded_for變數的X-Forwarded-For部分是空的,所以只有 r e m o t e a d d r , 而 remote_addr,而 remotea​ddr,而remote_addr的值是使用者的ip,於是賦值以後,X-Forwarded-For變數的值就是使用者的真實的ip地址了。

到了第二臺nginx,使用:proxy_set_header X-Forwarded-For KaTeX parse error: Double subscript at position 12: proxy_add_x_̲forwarded_for;,…proxy_add_x_forwarded_for變數,X-Forwarded-For部分包含的是使用者的真實ip,$remote_addr部分的值是上一臺nginx的ip地址,於是通過這個賦值以後現在的X-Forwarded-For的值就變成了“使用者的真實ip,第一臺nginx的ip”,這樣就清楚了吧。

總結:獲取使用者端的IP地址不僅可以通過proxy_set_header X-real-ip $remote_addr;獲取到,也可以通過proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

範例如下:

1、設定localtion

        location /api {
                limit_req zone=allipse burst=24000 nodelay;
                add_header 'Access-Control-Allow-Origin' '*';
                add_header 'Access-Control-Allow-Credentials' 'true';
                add_header 'Access-Control-Allow-Headers' 'x-requested-with,content-type';
                proxy_pass http://api;
                proxy_set_header   Host    $host;
                proxy_set_header   Remote_Addr    $remote_addr;
                proxy_set_header   X-Real-IP    $remote_addr;
                proxy_set_header   X-Forwarded-For    $proxy_add_x_forwarded_for;
        }

2、新增log設定

log_format  main  '使用者端真實ip: $proxy_add_x_forwarded_for - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for" "$geoip2_data_country_code" "$geoip2_data_country_name" "$geoip2_data_city_name" "$upstream_addr" "$request_time" "$upstream_response_time"';

3、查詢紀錄檔輸出

總結 

到此這篇關於基於nginx獲取代理服務ip以及使用者端真實ip的文章就介紹到這了,更多相關nginx獲取代理服務ip內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!


相關文章

  • 德漢姆中學就讀條件 德漢姆中學就讀條件

    <em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011

    2021-06-01 09:32:01

  • 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列

    综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所

    2021-06-01 09:31:42

  • 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距! 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!

    除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让

    2021-06-01 09:31:34

  • IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢? IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?

    目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加

    2021-06-01 09:31:24

  • 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊

    开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的

    2021-06-01 09:30:48

  • iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎? iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?

    不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它

    2021-06-01 09:30:45

IT145.com E-mail:sddin#qq.com