当前位置：首页 > news >正文

【Java开发】之获取客户端真实 IP 地址

news 2025/11/22 22:34:14

一、应用场景

在投票系统开发中，为了防止刷票，我们需要限制每个 IP 地址只能投票一次；
当网站受到诸如 DDoS（Distributed Denial of Service，分布式拒绝服务攻击）等攻击时，我们需要快速定位攻击者 IP；
在渗透测试过程中，经常会碰到网站有 CDN（Content Distribution Network，内容交付网络），这时我们需要绕过 CDN 查找真实 IP；

二、获取客户端的 IP 地址

服务端获取客户端请求IP地址，常见的包括：remote_addr、x-forwarded-for、client-ip 等请求头参数：

remote_addr：指的是当前直接请求的客户端IP地址，它存在于tcp请求体中，是http协议传输的时候自动添加，不受请求头header的控制。因此，当客户端与服务器之间不存在任何代理的时候，通过remote_addr获取客户端IP地址是最准确，也是最安全。remote_addr无法伪造
x-forwarded-for，即XFF，是很多代理服务器在请求转发时添加上去的。如果客户端和服务器之间存在代理服务器，那么通过remote_addr获取的IP就是代理服务器的地址，并不是客户端真实的IP地址。因此，需要代理服务器（通常是反向代理服务器）将真实客户端的IP地址转发给服务器，转发时客户端的真实IP地址通常就存在于XFF请求头中。
client-ip：同XFF，也是代理服务器添加的用于转发客户端请求的真实IP地址，同样保存与请求头中。

在 Java 中，获取客户端 IP 最直接的方式就是使用 request.getRemoteAddr()。这种方式在中间没有代理的情况下，获取连接到服务器的客户端 IP 的最简单有效的方式。

但是目前互联网 Web 应用很少会将应用服务器直接对外提供服务，一般都会有一层 Nginx 做反向代理和负载均衡，有的甚至可能有多层代理。所以，在有反向代理的情况下，直接使用 request.getRemoteAddr() 获取到的IP地址是Nginx所在服务器的IP地址，而不是客户端的 IP。

为了解决上面的问题，很多 HTTP 代理会在 HTTP 协议头中添加 X-Forwarded-For 头，用来追踪请求的来源，X-Forwarded-For 的格式如下：

X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For 包含多个 IP 地址，每个值通过逗号+空格分开，最左边（client1）是最原始客户端的IP地址，中间如果有多层代理，每一层代理会将连接它的客户端IP追加在 X-Forwarded-For 右边。

下面就是一种常用的获取客户端真实IP的方法：

public static String getRealIP(HttpServletRequest request) {String ip = request.getHeader("X-Forwarded-For");if (ip != null) {ip = ip.contains(",") ? ip.split(",")[0] : ip;} else {if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getHeader("Proxy-Client-IP");}if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getHeader("WL-Proxy-Client-IP");}if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getRemoteAddr();}}return ip;
}

注意，要让 Nginx 支持 X-Forwarded-For 头，需要配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

$proxy_add_x_forwarded_for 会将和 Nginx 直接连接的客户端 IP 追加在请求原有 X-Forwarded-Fo r值的右边。

三、IP 伪造及解决方案

1、客户端可以伪造 X-Forwarded-For

一般的客户端（例如浏览器）发送HTTP请求是没有 X-Forwarded-For 头的，当请求到达第一个代理服务器时，代理服务器会加上 X-Forwarded-For 请求头，并将值设为客户端的IP地址（也就是最左边第一个值），后面如果还有多个代理，会依次将IP追加到 X-Forwarded-For 头最右边，最终请求到达Web应用服务器，应用通过获取 X-Forwarded-For 头取左边第一个IP即为客户端真实IP。

但是如果客户端在发起请求时，请求头上带上一个伪造的 X-Forwarded-For，由于后续每层代理只会追加而不会覆盖，那么最终到达应用服务器时，获取的左边第一个IP地址将会是客户端伪造的 IP。

2、解决方案：配置 Nginx 反向代理

在直接对外的Nginx反向代理服务器上配置：

proxy_set_header X-Forwarded-For $remote_addr;

如果有多层Nginx代理，内层的Nginx配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

在最外层 Nginx（即直接对外提供服务的Nginx）使用 $remote_addrb代替上面的 $proxy_add_x_forwarded_for，可以防止伪造 X-Forwarded-For。$proxy_add_x_forwarded_forb会在原有 X-Forwarded-For 上追加IP，这就相当于给了伪造 X-Forwarded-Fo r的机会。而 $remote_addr 是获取的是直接 TCP 连接的客户端 IP，这个是无法伪造的，即使客户端伪造也会被覆盖掉，而不是追加。

需要注意的是：如果有多层代理，只在直接对外访问的 Nginx 上配置 X-Forwarded-For 为 $remote_addr，内层的 Nginx 还是要配置为 $proxy_add_x_forwarded_for，不然内层的 Nginx 又会覆盖掉客户端的真实IP。

完成以上配置后，获取X-Forwarded-For最左边的IP地址即为真实的客户端地址，且客户端也无法伪造。

【Java开发】之获取客户端真实 IP 地址

一、应用场景

二、获取客户端的 IP 地址

三、IP 伪造及解决方案

1、客户端可以伪造 X-Forwarded-For

2、解决方案：配置 Nginx 反向代理

相关文章：

【Java开发】之获取客户端真实 IP 地址

Linux RPM包安装、卸载和升级

ROS 多级tf坐标转换

ceph rados对象存储索引残留问题排查与处理

十年测试工龄，揭露软件测试痛点以及分析

【星海出品】flask(三) 组件

关于卷积神经网络的池化层（pooling）

GNU链接脚本详解

酷柚易汛ERP-账户管理操作指南

函数的连续性

Pandas groupby方法中的group_keys属性

win 命令替代鼠标的操作

Shopee活动取消规则是什么？shopee官方促销活动怎么取消？

安卓常见设计模式2------构建者模式（Kotlin版）

redis主从复制+哨兵

html动态爱心超文本标记代码，丝滑流畅有特效，附源码

力扣：162. 寻找峰值（Python3）

【Python】20大报告生成词云

目标检测YOLO实战应用案例100讲-基于无人机的轻量化目标检测系统设计

ansible-第二天

基于距离变化能量开销动态调整的WSN低功耗拓扑控制开销算法matlab仿真

学习STC51单片机31（芯片为STC89C52RCRC）OLED显示屏1

什么是EULA和DPA

工业自动化时代的精准装配革新：迁移科技3D视觉系统如何重塑机器人定位装配

Redis的发布订阅模式与专业的 MQ（如 Kafka, RabbitMQ）相比，优缺点是什么？适用于哪些场景？

人机融合智能 | “人智交互”跨学科新领域

现有的 Redis 分布式锁库（如 Redisson）提供了哪些便利？

打手机检测算法AI智能分析网关V4守护公共/工业/医疗等多场景安全应用

【Linux手册】探秘系统世界：从用户交互到硬件底层的全链路工作之旅

高防服务器价格高原因分析