java web(HttpServletRequest)获取用户真实ip的方式
最近因为项目需要,看了一下java web获取用户请求的真实ip的方法。
1. 因为真实的线上项目基本上都是通过nginx转发的,所以获取的方式一般是通过HttpServletRequest.getHeader("x-forwarded-for")方法,但是有个问题就是因为这个只是一个请求头,所以可能出现的问题是请求方可以伪造该ip地址的。
2. 获取上一级请求的ip地址,通过HttpServletRequest.getRemoteAddr()获取上一级请求的ip地址,这个方法是通过http协议握手获取的,所以这个ip地址是用户无法伪造的,但是有一个问题就是,通过nginx转发的话获取的就是转发服务器的ip地址。
以下是代码示例:
private String getClientIp(HttpServletRequest request) {
//X-Forwarded-For,不区分大小写
String possibleIpStr = request.getHeader("X-Forwarded-For");
String remoteIp = request.getRemoteAddr();
String clientIp;
if (StringUtils.isNotBlank(possibleIpStr) && !"unknown".equalsIgnoreCase(possibleIpStr)) {
//可能经过好几个转发流程,第一个是用户的真实ip,后面的是转发服务器的ip
clientIp = possibleIpStr.split(",")[0].trim();
} else {
//如果转发头ip为空,说明是直接访问的,没有经过转发
clientIp = remoteIp;
}
return clientIp;
}