前言
在开发中,我们可能需要获取用户的ip地址,比如做异地登陆的判断,或者统计ip访问次数等。
正文
在网上看到的文章都是这样说:
- 若HTTP Header 包含
Client-IP
,就先以它当作真实IP。 - 若HTTP Header 包含
X-Forwarded-For
,则取它当作真实IP。 - 若两者都没有,则取
REMOTE_ADDR
作为真实IP。
于是我想照模照样的用Node.js实现一下。但很快就遇到问题,Client-IP
是什么鬼?怎么HTTP协议规范里找不到这个头部?原来根本就没有这玩意!只是某些代理服务器自定义的,并不是规范。参考 >>>>> 传送门
好的,再看看另外两个的作用:
-
X-Forwarded-For
:这个头部设置了客户端IP,以及每一级代理IP(形式为:clinet_ip, proxy1_ip, proxy2_ip, 需要在代理层配置) -
REMOTE_ADDR
:上一级代理服务的IP,若上一级代理为空,即为客户端IP。
但是大家都知道,请求伪造Http头部就是一行代码的事情。假如客户端篡改了X-Forwarded-For
,后台就无法获取到正确的IP。那么该如何解决呢?
思路很简单:当客户端请求经过代理服务器的时候,代理服务器知道客户端的真实IP地址,我们只要在客户端经过第一级代理的时候记下客户端真实地址为REMOTE_ADDR
,然后将REMOTE_ADDR
传递到后台即可。
在真实场景中,我们以Nginx代理服务器、Node.js服务为例:
客户端 >>>> Nginx >>>> Node.js
在第一级代理处增加配置:
server {
listen 8443;
server_name xxx.xxx.com;
location / {
...
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass your Node.js serve
...
}
}
效果是:http头中会增加 x-real-ip
这个字段,并被Nginx赋值为客户端地址。Node.js通过读取http header中的 x-real-ip
即可获取客户端真实IP地址。
假如存在多级代理,即Nginx --> Nginx --> web服务,需这样处理:
a. 在第一层Nginx代理中配置: proxy_set_header x-real-ip $remote_addr;
b. 第二层Nginx代理中则不添加该条配置
然后在web服务中直接从http头中读出x-real-ip
这个字段作为ip地址即可。
代码
最后,假设我们Node.js使用的是Koa库:
(ctx) => {
const headers = ctx.headers;
if (headers['x-real-ip']) {
return headers['x-real-ip'];
}
if (headers['x-forwarded-for']) {
const ipList = headers['x-forwarded-for'].split(',');
return ipList[0];
}
return '0.0.0.0';
}
参考: