有时候我们需要需要获得客户端真实的IP,例如认证。
一般情况下,在tomcat中获得HTTP访问时客户端的IP方法如下:
httpServletRequest.getRemoteHost()
然而,经常我们会配置Apache或nginx代理,这时候就通过上面的方法就无法获得真实的客户端IP。通过nginx代理,通过httpServletRequest.getRemoteHost()获得是代理服务器的地址,Apache是客户端真实的IP。
nginx下的配置
对于nginx,我们可以通过一下配置:
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
这样,在HTTP的header中就增加了一个X-Forwarded-For,这个保存着客户端的真实IP,然后在tomcat中通过以下方法:
String host = httpServletRequest.getHeader("X-Forwarded-For");
host = null == host ? httpServletRequest.getRemoteHost() : host;
Apache下的配置
通过Apache代理时,Apache会自动增加X-Forwarded-For作为客户端的IP,但这个IP虽然是客户端IP,但不是客户端真实的IP,如果客户端在内网,这个IP则是客户端内网的IP,为了解决这个问题,在Apache代理前激将X-Forwarded-For禁止,这样依旧可以通过httpServletRequest.getRemoteHost()获得客户端的真实IP。由于Tomcat中无法知道是通过Apache代理还是nginx代理,所有,还是通过上面的方式进行IP的获得。Apache的配置如下:
RequestHeader unset X-Forwarded-For
这样就可以解决获取IP的问题。