Spring Boot项目中HttpServletRequest随笔

在Spring Boot项目中通过HttpServletRequest获取客户端原始IP不同

在Spring Boot应用程序中，使用HttpServletRequest request对象来获取客户端的IP地址时，可能会遇到获取到的IP并非预期中的客户端原始IP。这种情况通常与以下几个因素有关：

1. 代理服务器的影响

当应用部署在一个或多个代理服务器（如Nginx、Apache等）之后时，直接调用request.getRemoteAddr()方法将返回最近的一个代理服务器的IP地址，而非客户端的真实IP。

2. 使用X-Forwarded-For头部信息

如果应用运行于代理服务器之后，代理通常会将客户端的真实IP添加到请求头中的X-Forwarded-For字段中。为了正确获取客户端的真实IP，可以检查这个请求头：

String clientIp = request.getHeader("X-Forwarded-For");
if (clientIp == null || clientIp.isEmpty() || "unknown".equalsIgnoreCase(clientIp)) {
    clientIp = request.getRemoteAddr();
}

注意：若经过了多个代理，X-Forwarded-For可能包含一系列以逗号分隔的IP地址，其中第一个IP地址即为客户端的真实IP。

3. 配置代理和应用设置

确保你的代理服务器和Spring Boot应用都正确配置，以便传递并信任X-Forwarded-*头部信息。例如，在Nginx中，可以通过以下指令转发客户端的IP信息：

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

4. Spring Boot的ForwardedHeadersFilter

启用Spring Boot中的ForwardedHeaderFilter有助于处理这些头部信息。可以在application.properties或application.yml中进行如下配置：

server.forward-headers-strategy=framework

或者在Java配置类中手动配置：

@Bean
public ForwardedHeaderFilter forwardedHeaderFilter() {
    return new ForwardedHeaderFilter();
}

5. 安全性考量

不要盲目信任来自外部的X-Forwarded-For头部信息，除非你确定请求已经通过了可信的代理。否则可能存在伪造的风险。

确保X-Forwarded-For头部信息的可信性

为了确保X-Forwarded-For头部信息的可信性，特别是当应用从不可信代理或互联网直接接收请求时，请考虑以下措施：

1. 仅信任特定的代理服务器：了解哪些IP地址属于你的可信代理，并只接受来自这些代理的X-Forwarded-For头部信息。

2. 正确配置反向代理：确保反向代理被配置为添加X-Forwarded-For头部信息，如上述Nginx示例所示。

3. 启用Spring Boot的ForwardedHeadersFilter：参考前面提到的方法启用此过滤器。

4. 实现过滤器或拦截器：创建一个过滤器或拦截器来验证请求是否源自可信代理列表。如果是，则允许读取X-Forwarded-For头部；如果不是，则忽略该头部信息以防伪造。

5. 持续的安全策略更新：不断监控和更新安全策略，以应对新的威胁。

---