服务端如何获取客户端请求IP地址

服务端获取客户端请求IP地址，常见的包括：x-forwarded-for、client-ip等请求头，以及remote_addr参数。

1、remote_addr、x-forwarded-for、client-ip

remote_addr：指的是当前直接请求的客户端IP地址，它存在于tcp请求体中，是http协议传输的时候自动添加，不受请求头header的控制。所以，当客户端与服务器之间不存在任何代理的时候，经过remote_addr获取客户端IP地址是最准确，也是最安全的。

x-forwarded-for，即XFF，是不少代理服务器在请求转发时添加上去的。若是客户端和服务器之间存在代理服务器，那么经过remote_addr获取的IP就是代理服务器的地址，并非客户端真实的IP地址。所以，须要代理服务器（一般是反向代理服务器）将真实客户端的IP地址转发给服务器，转发时客户端的真实IP地址一般就存在于XFF请求头中。

client-ip同XFF，也是代理服务器添加的用于转发客户端请求的真实IP地址，一样保存与请求头中。

重点：
1.remote_addr没法伪造。

2、nginx配置

当服务器间存在反向代理服务器时，须要在反向代理服务器中转发客户端真实请求IP地址，能够设置x-forwarded-for、client-ip，也能够自定义请求头名称，而后在服务端代码中获取请求头中的该值。须要注意的是，此时必须保证服务器不会绕过代理服务器直接对外提供服务，不然存在IP伪造的风险。

nginx设置方式：

proxy_set_header X-Forward-For $remote_addr;

1.nginx通常设置

(1)在最前端的nginx上设置XFF：

location  ~  ^/static {
proxy_pass  ....;
proxy_set_header X-Forward-For $remote_addr ;

}

$remote_addr是nginx的内置变量，表明了客户端真实（网络传输层）IP。经过此项措施，强行将XFF设置为客户端ip，使客户端没法经过HTTP header伪造IP。

(2)后端全部机器不做任何设置，直接信任并使用前端机器传递过来的XFF值便可。

nginx的realip模块配置：

set_real_ip_from 10.1.10.0/24;
real_ip_header X-Forwarded-For;

上面的配置是把从 10.1.10这一网段过来的请求所有使用X-Forwarded-For里的头信息做为remote_addr。而nginx里的x_forwarded_for取的就是其中第一个IP。

2.将Nginx架在HAProxy前面作HTTPS代理

HAProxy前面先架台Nginx解密，再转发到HAProxy作负载均衡。这种在Web服务器前面就存在了两个代理，为了能让它获取到真实的客户端IP，须要作如下配置。

（1）Nginx的https代理规则设定：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

这样会让nginx的https代理增长x_forwarded_for头信息，保存客户的真实IP。

（2）修改HAProxy的配置

option forwarded except 10.1.10.0/24

若是HAProxy收到的请求是由内网传过来的话（https代理服务器），就不会设定x_forwarded_for的值，保证后面的web服务器拿到的就是前面https代理传过来的。

3.CDN的场景

CDN在回源站时，会先添加x_forwarded_for头信息，保存用户的真实IP，而反向代理也会设定这个值，不过不会覆盖，而是把CDN服务器的IP添加到x_forwarded_for的后面，这样x_forwarded_for就有两个值。 Nginx会使用第一个值，即客户的真实IP；而PHP会使用第二个，即CDN的地址。致使PHP获取到错误的IP，能够经过以下配置：

把nginx使用的值（即第一个）传给PHP。

fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;