穿透代理获取用户真实IP地址

一、场景

在对接微信H5支付API时，有一关键步骤是获取到用户的真实IP，微信开发文档给出的解释为：

H5支付要求商户在统一下单接口中上传用户真实ip地址“spbill_create_ip”，
为保证微信端获取的用户ip地址与商户端获取的一致.

二、方法

1、微信官方方法

（1）没有代理

function get_client_ip()
{
    $cip = "unknown";
    if ($_SERVER['REMOTE_ADDR'])
    {
        $cip = $_SERVER['REMOTE_ADDR'];
    }
    elseif (getenv("REMOTE_ADDR")
    {
        $cip = getenv("REMOTE_ADDR");
    }
    return $ip
}

（2）有代理

有代理的情况下，因为要代替客户端去访问服务器，而代理服务器这里的IP数据报的包头做了修改，这样一来，后端程序就无法获取到用户的真实IP。

nginx代理情况：
在nginx配置中加入：

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Real-Port $remote_port;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Apache代理的情况：

vi /usr/local/apache/conf/httpd.conf
Include conf/extra/httpd-remoteip.conf
vi /usr/local/apache/conf/extra/httpd-remoteip.conf
LoadModule remoteip_module modules/mod_remoteip.so
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 127.0.0.1

博主备注：腾讯文档依旧保持尽可能让读者搞不懂的态度，所以下面给出简单可行的方法。

2、非官方方法

以下只使用Java开发语言

（1）代码

private static final String[] headInfo = { "X-Forwarded-For", "Proxy-Client-IP", "WL-Proxy-Client-IP",
			"HTTP_X_FORWARDED_FOR", "HTTP_X_FORWARDED", "HTTP_X_CLUSTER_CLIENT_IP", "HTTP_CLIENT_IP",
			"HTTP_FORWARDED_FOR", "HTTP_FORWARDED", "HTTP_VIA", "REMOTE_ADDR", "PROXY_FORWARDED_FOR", "X-Real-IP"};

	/**
	 * 
	 * getClientIpAddress:(获取用户ip，可穿透代理).
	 * @author SongYapeng
	 * @Date 2018年3月2日下午4:41:47
	 * @param request
	 * @since JDK 1.8
	 */
	public static String getClientIpAddress(HttpServletRequest request) {
		for (String header : headInfo) {
			String ip = request.getHeader(header);
			if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) {
				if (ip != null && ip.indexOf(",") != -1) {
					String[] ips = ip.split(",");
					for (int i = 0; i < ips.length; i++) {
						String ipMulti = (String) ips[i];
						if (!("unknown".equalsIgnoreCase(ipMulti))) {
							ip = ipMulti;
							break;
						}
					}
				}
				return ip;
			}
		}
		return request.getRemoteAddr();
	}

（2）说明

没有代理的情况下使用request.getRemoteAddr() 可以正常获取到客户端的IP地址。
但是，秉承着别人没问题自己必然出Bug的传统，大多数情况下，总是获取到的是本地IP。

通过了解到反向代理修改了数据报的头部，上面headInfo数组中罗列了代理后HTTP头信息中可能增加的信息字段。

通过方法getClientIpAddress()，可穿透代理获取到用户真实IP。

（3）补充

上面方法不能保证百分之百没问题，因为不同的代理服务器可能需要不同的配置。我们使用的是F5负载均衡，效果不太理想，后通过运维大哥在F5上配置X-Forwarded-For后才得以实现。