Node.js如何获取客户端IP

前言

在开发中,我们可能需要获取用户的ip地址,比如做异地登陆的判断,或者统计ip访问次数等。

正文

在网上看到的文章都是这样说:

  • 若HTTP Header 包含Client-IP,就先以它当作真实IP。
  • 若HTTP Header 包含X-Forwarded-For,则取它当作真实IP。
  • 若两者都没有,则取 REMOTE_ADDR 作为真实IP。

于是我想照模照样的用Node.js实现一下。但很快就遇到问题,Client-IP是什么鬼?怎么HTTP协议规范里找不到这个头部?原来根本就没有这玩意!只是某些代理服务器自定义的,并不是规范。参考 >>>>> 传送门

好的,再看看另外两个的作用:

  • X-Forwarded-For:这个头部设置了客户端IP,以及每一级代理IP(形式为:clinet_ip, proxy1_ip, proxy2_ip, 需要在代理层配置)
  • REMOTE_ADDR:上一级代理服务的IP,若上一级代理为空,即为客户端IP。

但是大家都知道,请求伪造Http头部就是一行代码的事情。假如客户端篡改了X-Forwarded-For,后台就无法获取到正确的IP。那么该如何解决呢?

思路很简单:当客户端请求经过代理服务器的时候,代理服务器知道客户端的真实IP地址,我们只要在客户端经过第一级代理的时候记下客户端真实地址为REMOTE_ADDR ,然后将REMOTE_ADDR 传递到后台即可。

在真实场景中,我们以Nginx代理服务器、Node.js服务为例:
客户端 >>>> Nginx >>>> Node.js

在第一级代理处增加配置:

server {
  listen 8443;
  server_name xxx.xxx.com;

  location / {
    ...
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_pass your Node.js serve
    ...
  }
}

效果是:http头中会增加 x-real-ip 这个字段,并被Nginx赋值为客户端地址。Node.js通过读取http header中的 x-real-ip 即可获取客户端真实IP地址。

假如存在多级代理,即Nginx --> Nginx --> web服务,需这样处理:
a. 在第一层Nginx代理中配置: proxy_set_header x-real-ip $remote_addr;
b. 第二层Nginx代理中则不添加该条配置
然后在web服务中直接从http头中读出x-real-ip这个字段作为ip地址即可。

代码

最后,假设我们Node.js使用的是Koa库:

 (ctx) => {
    const headers = ctx.headers;

    if (headers['x-real-ip']) {
        return headers['x-real-ip'];
    }
    if (headers['x-forwarded-for']) {
        const ipList = headers['x-forwarded-for'].split(',');
        return ipList[0];
    }

    return '0.0.0.0';
}

参考:

https://segmentfault.com/q/1010000000686700