服務端如何獲取客戶端請求IP地址

服務端獲取客戶端請求IP地址，常見的包括：x-forwarded-for、client-ip等請求頭，以及remote_addr參數。

一、remote_addr、x-forwarded-for、client-ip

remote_addr：指的是當前直接請求的客戶端IP地址，它存在於tcp請求體中，是http協議傳輸的時候自動添加，不受請求頭header的控制。因此，當客戶端與伺服器之間不存在任何代理的時候，通過remote_addr獲取客戶端IP地址是最準確，也是最安全的。

x-forwarded-for，即XFF，是很多代理伺服器在請求轉發時添加上去的。如果客戶端和伺服器之間存在代理伺服器，那麼通過remote_addr獲取的IP就是代理伺服器的地址，並不是客戶端真實的IP地址。因此，需要代理伺服器（通常是反向代理伺服器）將真實客戶端的IP地址轉發給伺服器，轉發時客戶端的真實IP地址通常就存在於XFF請求頭中。

client-ip同XFF，也是代理伺服器添加的用於轉發客戶端請求的真實IP地址，同樣保存與請求頭中。

重點：
1.remote_addr無法偽造。

二、nginx配置

當伺服器間存在反向代理伺服器時，需要在反向代理伺服器中轉發客戶端真實請求IP地址，可以設置x-forwarded-for、client-ip，也可以自定義請求頭名稱，然後在服務端代碼中獲取請求頭中的該值。需要註意的是，此時必須保證伺服器不會繞過代理伺服器直接對外提供服務，否則存在IP偽造的風險。

nginx設置方式：

proxy_set_header X-Forward-For $remote_addr;

1.nginx一般設置

(1)在最前端的nginx上設置XFF：

location  ~  ^/static {
proxy_pass  ....;
proxy_set_header X-Forward-For $remote_addr ;

}

$remote_addr是nginx的內置變數，代表了客戶端真實（網路傳輸層）IP。通過此項措施，強行將XFF設置為客戶端ip，使客戶端無法通過HTTP header偽造IP。

(2)後端所有機器不作任何設置，直接信任並使用前端機器傳遞過來的XFF值即可。

nginx的realip模塊配置：

set_real_ip_from 10.1.10.0/24;
real_ip_header X-Forwarded-For; 

上面的配置是把從 10.1.10這一網段過來的請求全部使用X-Forwarded-For里的頭信息作為remote_addr。而nginx里的x_forwarded_for取的就是其中第一個IP。

2.將Nginx架在HAProxy前面做HTTPS代理

HAProxy前面先架台Nginx解密，再轉發到HAProxy做負載均衡。這種在Web伺服器前面就存在了兩個代理，為了能讓它獲取到真實的客戶端IP，需要做以下配置。

（1）Nginx的https代理規則設定：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

這樣會讓nginx的https代理增加x_forwarded_for頭信息，保存客戶的真實IP。

（2）修改HAProxy的配置

option forwarded except 10.1.10.0/24

如果HAProxy收到的請求是由內網傳過來的話（https代理伺服器），就不會設定x_forwarded_for的值，保證後面的web伺服器拿到的就是前面https代理傳過來的。

3.CDN的場景

CDN在回源站時，會先添加x_forwarded_for頭信息，保存用戶的真實IP，而反向代理也會設定這個值，不過不會覆蓋，而是把CDN伺服器的IP添加到x_forwarded_for的後面，這樣x_forwarded_for就有兩個值。 Nginx會使用第一個值，即客戶的真實IP；而PHP會使用第二個，即CDN的地址。導致PHP獲取到錯誤的IP，可以通過如下配置：

把nginx使用的值（即第一個）傳給PHP。

fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;