前言
今天我们开发的项目在测试环境转生产环境之后,登录功能出现了与测试环境不一致的问题,检查之后发现是保存在数据库的IP地址超过了15位长度限制,可是通常使用的IP地址是一个32bit的数字,也就是我们常说的IPv4标准,这32bit的数字分成四组,也就是常见的255.255.255.255的样式,为什么会超过15位呢?
检查、分析问题
接下来通过与cto、运维的沟通得知,我们生产环境服务器是部署在VPN环境,用了多层反向代理。在Servlet里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了Apache,Squid,Nginx等反向代理软件就不能获取到客户端的真实IP地址了。例如将http://192.168.101.88:80/ 的URL反向代理为http://hetonghao.com/ 的URL时,用request.getRemoteAddr()方法获取的IP地址是:127.0.0.1 或192.168.101.88,而并不是客户端的真实IP。
原来是client端直接请求服务端,这时候通过request.getRemoteAddr()方法可以直接获取客户端的IP。但是做了代理之后呢,client端不是直接请求服务端,而是先请求代理服务器,由代理器去请求服务端,这时候服务端通过request.getRemoteAddr()方法拿到的理所当然是代理服务器的地址了。
接着我和运维分别检查了服务器获取IP的代码和Nginx反向代理Request Head的配置,发现我们后端服务器获取Ip地址的代码是有做对反向代理的处理。而运维也正常的设置了Request Head,解析IP地址的代码如下:
public static String getIpAddr(ServletRequest request) { |
运维Nginx的配置如下(Nginx标准配置):
proxy_set_header X-Real-IP $remote_addr; |
然后连上服务器用Arthas在线监控了这个方法,发现从”x-forwarded-for”得到的的IP地址是多个IP用逗号”,”隔开。运维查了配置的详细处理:参考Nginx X-Forwarded-For和$proxy_add_x_forwarded_for的说明。
X-Forwarded-For的定义
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。
标准格式如下:
X-Forwarded-For: client1, proxy1, proxy2
从标准格式可以看出,X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。
问题的关键
在默认情况下,Nginx并不会对X-Forwarded-For头做任何的处理,除非用户使用proxy_set_header 参数设置:
- proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
$remote_addr用逗号分开,如果没有”X-Forwarded-For” 请求头,则 $proxy_add_x_forwarded_for等于$remote_addr。$remote_addr变量的值是客户端的IP。
解决方式
找到了问题的关键,于是运维先将” X-Forwarded-For”直接设置成$remote_addr(这不符合这个head的标准定义)。
而我们后端为了避免以后不会出现类似的问题,可以通过”X-Real-IP”—>”X-Forwarded-For”—>”remote_addr”的顺序拿到真实IP,注意拿到”X-Forwarded-For”之后判断如果为多个IP,取第一个即可。
