X-Forwarded-For的一些理解(1)
文章目录
##关于X-Forwarded-For的简要概述
X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址,但是这个IP却未必是真实的,我们后面会回来描述这个问题。一些开发者为了获取客户IP,我们经常会使用request.remote_ip来获得用户IP。但是很多用户都是通过代理来访问服务器的,如果使用remote_ip这个全局变量来获取IP,开发者往往获得的是代理服务器的IP,并不是用户真正的IP。
| 客户端=>正向代理=>透明代理=>服务器反向代理=>Web服务器 |
假如客户端直接连接 Web 服务器(假设 Web 服务器有公网地址),则 request.remote_ip获取到的是客户端的真实 IP 。
假设 Web 服务器前部署了反向代理(比如 Nginx),则 request.remote_ip获取到的是反向代理设备的 IP(Nginx)。
假设客户端通过正向代理直接连接 Web 服务器(假设 Web 服务器有公网地址),则request.remote_ip获取到的正向代理设备的 IP 。
其实这里的知识点很多,记住一点就行了,request.remote_ip获取到的 IP 是 Web 服务器 TCP 连接的 IP(这个不能伪造,一般 Web 服务器也不会修改这个头)。
##关于X-Forwarded-For的一个思考
我们都知道,Http是基于Tcpip的协议,我们为什么不可以从传输层的socket获得我们所需要源用户ip呢?其实Http已经从socket取得所需要IP,但是这个IP并一定是我们所需要的真实IP,来看看下面的两个例子。
在第一个例子中,我们可以看出来,客户端是直接链接的服务器,则获取到的IP即为真实的client ip地址信息。
若通过代理, 则直连的ip会被代理服务器的ip所替代。通过两个例子中的对比, 我们可以清楚的观察到, 在反向代理模式下, 客户端的socket已经被nginx的socket所代替。若还是按默认的方式来获取客户端ip, 将失去意义。在这里,基本可以回答我们疑惑了,但是我们可以再往下探究一下,http的请求经过了nginx,我们是怎么从X-Forwarded-For中获得我们真实的IP。
##nginx配置
nginx是7层代理, 不是4层代理。7层代理的意思我们只能从修改第七层的包信息,因此不可能在tcp/ip这层做手脚. 只能在http/https这个应用层协议中做文章。nginx的策略是: 往http/https请求中, 添加额外的header信息, 以此来完成真实客户端ip的信息传递。下面是nginx中的一些内部变量的定义:
$remote_addr #来自对端socket的ip地址
$remote_port #来自对端socket的port信息
$proxy_add_x_forwarded_for #http/https请求流经的所有代理的ip
在nginx配置中, 需要在location标签下添加如下项:
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
X-Real-IP我们很容易可以理解了,就是取得和我们服务器建立tcp链接的ip地址。这里就需要X-Forwarded-For来记录ip的信息了。
标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。从标准格式可以看出,X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡的ip地址,经过几个就会出现几个。
光从定义来看, X-Forward-For只是记录了, 来自客户端所流经的代理服务器的链路路程, 好像没啥作用. 获取真实IP, 通过获取设定的X-Real-IP即可。当nginx只有一层代理,这种方案是可行的。
但是在现实的web架构中, 存在多层代理服务器时, 使用X-Real-IP会丢失真实的客户端IP, 而X-Forward-For依旧为你保留了真实的客户端IP, 这也为什么后端web server从X-Forward-For中获取client ip, 而不是从X-Real-IP中获取的本质原因。
##总结
这是一篇比较浅显的博客,目的只是为了可以更好理解X-Forwarded-For的使用场景,以及结合nginx使用可以产生的效果。后面如果还有更深入的思考,会继续写下去。