Java获取HttpServletRequest真实的调用ip

有时候我们需要获取Http请求的源IP,但由于有着各种代理,与反向代理,还有代理请求头标准的缺失,导致我们想拿到真正的ip变得更加困难。这篇文章来总结下一个目前可行的比较全面的通用方法。

首先,真实调用的ip,应该不是内网ip,并且考虑到客户端多样性,我们从通用的Header出发,并也考虑各种常见客户端的自定义Header。

验证IP有效

有效ip范围是,1.0.0.0~255.255.255.255;这个网上可以找到很多正则表达式,但是或多或少的有些不全面,例如有的正则表达式认为"0.0.0.0"也是有效ip。联想到其实可以通过数值转换实现这个判断:判断.分割的一共有四个字符串,每个字符串都是数字并且第一个在1~255之间,后面三个在0~255之间,也可以实现,我们对比下速度,分别执行JMH程序:

正则表达式版本

public static final String IP_SEG = "(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)";
public static final Pattern pattern = Pattern.compile("^(?:" + IP_SEG + "\\.){3}" + IP_SEG + "$");


@Benchmark
@BenchmarkMode(Mode.AverageTime)
@OutputTimeUnit(TimeUnit.MILLISECONDS)
public void testPattern() {
    for (int i = 0; i < 1000000; i++) {
        pattern.matcher("").matches();
        pattern.matcher("172.14.156.1").matches();
        pattern.matcher("x.14.156.1").matches();
        pattern.matcher("0.14.156.1").matches();
        pattern.matcher("1.14.156.1").matches();
        pattern.matcher("001.14.156.1").matches();
        pattern.matcher("192.14.156.1145").matches();
    }
}

分段判断版本:

public static boolean validIp(String ip) {
    String[] split = ip.split("\\.");
    if (split.length != 4) {
        return false;
    }
    try {
        long first = Long.valueOf(split[0]);
        long second = Long.valueOf(split[1]);
        long third = Long.valueOf(split[2]);
        long fourth = Long.valueOf(split[3]);
        return first < 256 && first > 0
                && second < 256 && second >= 0
                && third < 256 && third >= 0
                && fourth < 256 && fourth >= 0;
    } catch (NumberFormatException e) {
        return false;
    }
}

@Benchmark
@BenchmarkMode(Mode.AverageTime)
@OutputTimeUnit(TimeUnit.MILLISECONDS)
public void testParse() {
    for (int i = 0; i < 1000000; i++) {
        pattern.matcher("").matches();
        pattern.matcher("172.14.156.1").matches();
        pattern.matcher("x.14.156.1").matches();
        pattern.matcher("0.14.156.1").matches();
        pattern.matcher("1.14.156.1").matches();
        pattern.matcher("001.14.156.1").matches();
        pattern.matcher("192.14.156.1145").matches();
    }
}

正则表达式结果:

Benchmark            Mode  Cnt     Score      Error  Units
BenchMark.testParse  avgt    5  4184.071 ± 3029.729  ms/op

分段判断结果:

Benchmark              Mode  Cnt     Score      Error  Units
BenchMark.testPattern  avgt    5  3814.377 ± 2835.809  ms/op

分段版本在这里看上去好一些,但是实际其实可能相差不大的。反正证明,这种朴素的分段判断方法,性能上没有太大问题。

验证非内网Ip

在验证已经是有效IP的基础上,实现判断是否是内网IP有三种方法:

  • 正则表达式
  • 分段判断
  • 分段移位判断(第一位左移24+第二位左移16+第三位左移8+第四位,看范围是否在内网ip范围)

在判断已经是IP的基础上,这三种方法都会简化很多,我们这里采用分段判断。

获取IP

可能的Header(HTTP Header不区分大小写):

  • x-forwarded-for:这个是通用的代理Header,一般是逗号分割的多个ip,第一个一般是真实ip
  • x-real-ip: Nginx代理一般会填写这个Header,标注真实的ip
  • Proxy-Client-IPWL- Proxy-Client-IP:这个一般是经过apache http服务器的请求才会有,用apache http做代理时一般会加上Proxy-Client-IP请求头,而WL- Proxy-Client-IP是他的weblogic插件加上的头
  • HTTP_CLIENT_IP:出自TCP/IP应用协议里面提到的概念定义的Header,某些代理使用这个Header填写真实IP
  • HTTP_X_FORWARDED_FOR:新的HTTP协议中定义的标准x-forwarded-for,但是比较早出现的没有这个Header

如果上面的Header都没有,那么就从RemoteAddress里面去拿,这是最后的选择。

/**
 * 获取真实ip
 *
 * @param request       HttpServletRequest
 * @param acceptInnerIp 是否可以返回内网ip
 * @return 真实ip
 */
public static String getRemoteIpByServletRequest(HttpServletRequest request, boolean acceptInnerIp) {
    String ip = request.getHeader("x-forwarded-for");
    if (StringUtils.isNotBlank(ip)) {
        // 多次反向代理后会有多个ip值,第一个ip才是真实ip
        if (ip.indexOf(",") != -1) {
            ip = ip.split(",")[0];
        }
    }
    if (isIpValid(ip)) {
        return ip;
    }
    ip = request.getHeader("Proxy-Client-IP");
    if (isIpValid(ip)) {
        return ip;
    }
    ip = request.getHeader("WL-Proxy-Client-IP");
    if (isIpValid(ip)) {
        return ip;
    }
    ip = request.getHeader("HTTP_CLIENT_IP");
    if (isIpValid(ip)) {
        return ip;
    }
    ip = request.getHeader("HTTP_X_FORWARDED_FOR");
    if (isIpValid(ip)) {
        return ip;
    }
    ip = request.getHeader("X-Real-IP");
    if (isIpValid(ip)) {
        return ip;
    }
    ip = request.getRemoteAddr();
    return ip;
}

/**
 * 判断是否有效
 * @param ip ip
 * @param acceptInnerIp 是否接受内网ip
 * @return
 */
private static boolean isIpValid(String ip, boolean acceptInnerIp) {
    return acceptInnerIp ? isIpValid(ip) : isIpValidAndNotPrivate(ip);
}

/**
 * 仅仅判断ip是否有效
 * @param ip
 * @return
 */
private static boolean isIpValid(String ip) {
    if (StringUtils.isBlank(ip)) {
        return false;
    }
    String[] split = ip.split("\\.");
    if (split.length != 4) {
        return false;
    }
    try {
        long first = Long.valueOf(split[0]);
        long second = Long.valueOf(split[1]);
        long third = Long.valueOf(split[2]);
        long fourth = Long.valueOf(split[3]);
        return first < 256 && first > 0
                && second < 256 && second >= 0
                && third < 256 && third >= 0
                && fourth < 256 && fourth >= 0;
    } catch (NumberFormatException e) {
        return false;
    }
}

/**
 * 判断ip是否有效,并且不是内网ip
 * @param ip
 * @return
 */
private static boolean isIpValidAndNotPrivate(String ip) {
    if (StringUtils.isBlank(ip)) {
        return false;
    }
    String[] split = ip.split("\\.");
    try {
        long first = Long.valueOf(split[0]);
        long second = Long.valueOf(split[1]);
        long third = Long.valueOf(split[2]);
        long fourth = Long.valueOf(split[3]);
        if (first < 256 && first > 0
                && second < 256 && second >= 0
                && third < 256 && third >= 0
                && fourth < 256 && fourth >= 0) {
            if (first == 10) {
                return false;
            }
            if (first == 172 && (second >= 16 && second <= 31)) {
                return false;
            }
            if (first == 192 && second == 168) {
                return false;
            }
            return true;
        }
        return false;
    } catch (NumberFormatException e) {
        return false;
    }
}
上一篇:Servlet 个人理解


下一篇:Javaweb之Filter案例练习-项目全局编码过滤器