多级nginx代理,获取客户端真实ip

今天服务里的微信公众号支付业务突然不能用了,报错为网络环境未能通过安全验证,请稍后再试。检查后端日志,没有任何问题,看来是成功创建支付订单,但是调起支付时出现了问题。上网查了一下,这个报错的直接原因是传入的客户端ip与调起支付的ip不符。但是印象中我在代码中获取的是X-Forwarded-For,就是请求来源的客户端IP,就查看日志发现传给微信的ip为172.17.0.1,也就是宿主机ip,这是才恍然大悟,在升级线上环境时我们将所有服务放进了docker,并且在docker里装了nginx来分发请求给对应的服务,也就是说我们是两级nginx代理,我们的服务是没法拿到最外层客户端ip的。只好改进nginx将每级代理的ip都记录起来,而不是直接覆盖。

改进方法:

对第一级nginx代理

location ~ ^/test {
  proxy_pass http://127.0.0.1:8888;
  proxy_set_header Host $host;
  proxy_set_header X-real-ip $remote_addr;
  proxy_set_header X-Forwarded-For $remote_addr;
}

第一级nginx代理不需要改动,直接将原始客户端ip记录到X-Forwarded-For即可

 

对于第二级,以及之后可能存在的更多级代理

location ~ ^/test {
  proxy_pass http://127.0.0.1:12000;
  proxy_set_header Host $host;
  proxy_set_header X-real-ip $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

这样就将新一级代理的ip接到X-Forwarded-For的尾部,并用逗号分割。也就是说X-Forwarded-For是一个逗号拼接的ip字符串,想拿到原始ip只需要按逗号分割,取第一位ip即可。

 

Golang业务中读取原始客户端ip代码

 

	real_ip := r.Header.Get("X-Forwarded-For")
	ip_list := strings.Split(real_ip, ",")
	if len(ip_list) > 1 {
		real_ip = ip_list[0]
	}

 

 

就是这么简单啦,希望对大家有所帮助~

 

posted @ 2018-09-16 20:21 熔遁丶螺旋手里剑 阅读(...) 评论(...) 编辑 收藏