nginx如何获取用户真实ip

 更新时间:2024年06月18日 09:56:45   作者:maple 枫  

这篇文章主要介绍了nginx如何获取用户真实ip问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

目录
  • nginx如何获取用户真实ip
  • 解决方案
  • 总结

nginx如何获取用户真实ip

我们有的接口牵扯到用户信息的变更,这些接口只允许接入方来调我们,所以我们在nginx上,关于这些接口都个ip白名单,

里面配上接入方的出口ip。

下面是我们nginx的access里的日志。

nginx取的我们这个 $remote_addr 当做真实ip了

而事实上,$http_X_Forwarded_For 才是用户真实ip

$remote_addr只是我们f5的内网地址(用户 –>f5 –> nginx)

导致nginx取错了,用户调接口总是403

解决方案

在 http 模块

set_real_ip_from 172.17.10.125;
real_ip_header X-Forwarded-For;
real_ip_recursive on;

即可!

这里我们添加之后启动nginx报:

nginx: [emerg] unknown directive "set_real_ip_from" in /home/lnidmp/nginx/conf/nginx.conf:26

所以我们添加realip模块,重新编译nginx

1、cd /usr/local/nginx-1.6.3

2、./configure –prefix=/usr/cmcc/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_realip_module

3、 make && make install

温馨提示:

  • 1、set_real_ip_from 是指接受从哪个信任前代理处获得真实用户ip
  • 2、real_ip_header 是指从接收到报文的哪个http首部去获取前代理传送的用户ip
  • 3、real_ip_recursive 是否递归地排除直至得到用户ip(默认为off)

首先,real_ip_header 指定一个http首部名称,默认是X-Real-Ip,假设用默认值的话,nginx在接收到报文后,会查看http首部X-Real-Ip。

(1)如果有1个IP,它会去核对,发送方的ip是否在set_real_ip_from指定的信任ip列表中。如果是被信任的,它会去认为这个X-Real-Ip中的IP值是前代理告诉自己的,用户的真实IP值,于是,它会将该值赋值给自身的$remote_addr变量;如果不被信任,那么将不作处理,那么$remote_addr还是发送方的ip地址。

(2)如果X-Real-Ip有多个IP值,比如前一方代理是这么设置的:proxy_set_header X-Real-Ip $proxy_add_x_forwarded_for;

得到的是一串IP,那么此时real_ip_recursive 的值就至关重要了。

nginx将会从ip列表的右到左,去比较set_real_ip_from 的信任列表中的ip。

  • 如果real_ip_recursive为off,那么,当最右边一个IP,发现是信任IP,即认为下一个IP(右边第二个)就是用户的真正IP;
  • 如果real_ip_recursive为on,那么将从右到左依次比较,知道找到一个不是信任IP为止。

然后同样把IP值复制给$remote_addr。 

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持小闻网。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。