Node.js如何获取客户端IP

前言

在开发中，我们可能需要获取用户的ip地址，比如做异地登陆的判断，或者统计ip访问次数等。

正文

在网上看到的文章都是这样说：

• 若HTTP Header 包含Client-IP，就先以它当作真实IP。
• 若HTTP Header 包含X-Forwarded-For，则取它当作真实IP。
• 若两者都没有，则取 REMOTE_ADDR 作为真实IP。

于是我想照模照样的用Node.js实现一下。但很快就遇到问题，Client-IP是什么鬼？怎么HTTP协议规范里找不到这个头部？原来根本就没有这玩意！只是某些代理服务器自定义的，并不是规范。参考 >>>>> 传送门

好的，再看看另外两个的作用：

• X-Forwarded-For：这个头部设置了客户端IP，以及每一级代理IP（形式为：clinet_ip, proxy1_ip, proxy2_ip， 需要在代理层配置）
• REMOTE_ADDR：上一级代理服务的IP，若上一级代理为空，即为客户端IP。

但是大家都知道，请求伪造Http头部就是一行代码的事情。假如客户端篡改了X-Forwarded-For，后台就无法获取到正确的IP。那么该如何解决呢？

思路很简单：当客户端请求经过代理服务器的时候，代理服务器知道客户端的真实IP地址，我们只要在客户端经过第一级代理的时候记下客户端真实地址为REMOTE_ADDR ，然后将REMOTE_ADDR 传递到后台即可。

在真实场景中，我们以Nginx代理服务器、Node.js服务为例：
客户端 >>>> Nginx >>>> Node.js

在第一级代理处增加配置：

server {
  listen 8443;
  server_name xxx.xxx.com;

  location / {
    ...
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_pass your Node.js serve
    ...
  }
}

效果是：http头中会增加 x-real-ip 这个字段，并被Nginx赋值为客户端地址。Node.js通过读取http header中的 x-real-ip 即可获取客户端真实IP地址。

假如存在多级代理，即Nginx --> Nginx --> web服务，需这样处理：
a. 在第一层Nginx代理中配置： proxy_set_header x-real-ip $remote_addr;
b. 第二层Nginx代理中则不添加该条配置
然后在web服务中直接从http头中读出x-real-ip这个字段作为ip地址即可。

代码

最后，假设我们Node.js使用的是Koa库：

 (ctx) => {
    const headers = ctx.headers;

    if (headers['x-real-ip']) {
        return headers['x-real-ip'];
    }
    if (headers['x-forwarded-for']) {
        const ipList = headers['x-forwarded-for'].split(',');
        return ipList[0];
    }

    return '0.0.0.0';
}

参考：

https://segmentfault.com/q/1010000000686700