有时候我们需要获取Http请求的源IP,但由于有着各种代理,与反向代理,还有代理请求头标准的缺失,导致我们想拿到真正的ip变得更加困难。这篇文章来总结下一个目前可行的比较全面的通用方法。
首先,真实调用的ip,应该不是内网ip,并且考虑到客户端多样性,我们从通用的Header出发,并也考虑各种常见客户端的自定义Header。
验证IP有效
有效ip范围是,1.0.0.0~255.255.255.255;这个网上可以找到很多正则表达式,但是或多或少的有些不全面,例如有的正则表达式认为"0.0.0.0"也是有效ip。联想到其实可以通过数值转换实现这个判断:判断.分割的一共有四个字符串,每个字符串都是数字并且第一个在1~255之间,后面三个在0~255之间,也可以实现,我们对比下速度,分别执行JMH程序:
正则表达式版本
public static final String IP_SEG = "(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)";
public static final Pattern pattern = Pattern.compile("^(?:" + IP_SEG + "\\.){3}" + IP_SEG + "$");
@Benchmark
@BenchmarkMode(Mode.AverageTime)
@OutputTimeUnit(TimeUnit.MILLISECONDS)
public void testPattern() {
for (int i = 0; i < 1000000; i++) {
pattern.matcher("").matches();
pattern.matcher("172.14.156.1").matches();
pattern.matcher("x.14.156.1").matches();
pattern.matcher("0.14.156.1").matches();
pattern.matcher("1.14.156.1").matches();
pattern.matcher("001.14.156.1").matches();
pattern.matcher("192.14.156.1145").matches();
}
}
分段判断版本:
public static boolean validIp(String ip) {
String[] split = ip.split("\\.");
if (split.length != 4) {
return false;
}
try {
long first = Long.valueOf(split[0]);
long second = Long.valueOf(split[1]);
long third = Long.valueOf(split[2]);
long fourth = Long.valueOf(split[3]);
return first < 256 && first > 0
&& second < 256 && second >= 0
&& third < 256 && third >= 0
&& fourth < 256 && fourth >= 0;
} catch (NumberFormatException e) {
return false;
}
}
@Benchmark
@BenchmarkMode(Mode.AverageTime)
@OutputTimeUnit(TimeUnit.MILLISECONDS)
public void testParse() {
for (int i = 0; i < 1000000; i++) {
pattern.matcher("").matches();
pattern.matcher("172.14.156.1").matches();
pattern.matcher("x.14.156.1").matches();
pattern.matcher("0.14.156.1").matches();
pattern.matcher("1.14.156.1").matches();
pattern.matcher("001.14.156.1").matches();
pattern.matcher("192.14.156.1145").matches();
}
}
正则表达式结果:
Benchmark Mode Cnt Score Error Units
BenchMark.testParse avgt 5 4184.071 ± 3029.729 ms/op
分段判断结果:
Benchmark Mode Cnt Score Error Units
BenchMark.testPattern avgt 5 3814.377 ± 2835.809 ms/op
分段版本在这里看上去好一些,但是实际其实可能相差不大的。反正证明,这种朴素的分段判断方法,性能上没有太大问题。
验证非内网Ip
在验证已经是有效IP的基础上,实现判断是否是内网IP有三种方法:
- 正则表达式
- 分段判断
- 分段移位判断(第一位左移24+第二位左移16+第三位左移8+第四位,看范围是否在内网ip范围)
在判断已经是IP的基础上,这三种方法都会简化很多,我们这里采用分段判断。
获取IP
可能的Header(HTTP Header不区分大小写):
-
x-forwarded-for:这个是通用的代理Header,一般是逗号分割的多个ip,第一个一般是真实ip -
x-real-ip: Nginx代理一般会填写这个Header,标注真实的ip -
Proxy-Client-IP和WL- Proxy-Client-IP:这个一般是经过apache http服务器的请求才会有,用apache http做代理时一般会加上Proxy-Client-IP请求头,而WL- Proxy-Client-IP是他的weblogic插件加上的头 -
HTTP_CLIENT_IP:出自TCP/IP应用协议里面提到的概念定义的Header,某些代理使用这个Header填写真实IP -
HTTP_X_FORWARDED_FOR:新的HTTP协议中定义的标准x-forwarded-for,但是比较早出现的没有这个Header
如果上面的Header都没有,那么就从RemoteAddress里面去拿,这是最后的选择。
/**
* 获取真实ip
*
* @param request HttpServletRequest
* @param acceptInnerIp 是否可以返回内网ip
* @return 真实ip
*/
public static String getRemoteIpByServletRequest(HttpServletRequest request, boolean acceptInnerIp) {
String ip = request.getHeader("x-forwarded-for");
if (StringUtils.isNotBlank(ip)) {
// 多次反向代理后会有多个ip值,第一个ip才是真实ip
if (ip.indexOf(",") != -1) {
ip = ip.split(",")[0];
}
}
if (isIpValid(ip)) {
return ip;
}
ip = request.getHeader("Proxy-Client-IP");
if (isIpValid(ip)) {
return ip;
}
ip = request.getHeader("WL-Proxy-Client-IP");
if (isIpValid(ip)) {
return ip;
}
ip = request.getHeader("HTTP_CLIENT_IP");
if (isIpValid(ip)) {
return ip;
}
ip = request.getHeader("HTTP_X_FORWARDED_FOR");
if (isIpValid(ip)) {
return ip;
}
ip = request.getHeader("X-Real-IP");
if (isIpValid(ip)) {
return ip;
}
ip = request.getRemoteAddr();
return ip;
}
/**
* 判断是否有效
* @param ip ip
* @param acceptInnerIp 是否接受内网ip
* @return
*/
private static boolean isIpValid(String ip, boolean acceptInnerIp) {
return acceptInnerIp ? isIpValid(ip) : isIpValidAndNotPrivate(ip);
}
/**
* 仅仅判断ip是否有效
* @param ip
* @return
*/
private static boolean isIpValid(String ip) {
if (StringUtils.isBlank(ip)) {
return false;
}
String[] split = ip.split("\\.");
if (split.length != 4) {
return false;
}
try {
long first = Long.valueOf(split[0]);
long second = Long.valueOf(split[1]);
long third = Long.valueOf(split[2]);
long fourth = Long.valueOf(split[3]);
return first < 256 && first > 0
&& second < 256 && second >= 0
&& third < 256 && third >= 0
&& fourth < 256 && fourth >= 0;
} catch (NumberFormatException e) {
return false;
}
}
/**
* 判断ip是否有效,并且不是内网ip
* @param ip
* @return
*/
private static boolean isIpValidAndNotPrivate(String ip) {
if (StringUtils.isBlank(ip)) {
return false;
}
String[] split = ip.split("\\.");
try {
long first = Long.valueOf(split[0]);
long second = Long.valueOf(split[1]);
long third = Long.valueOf(split[2]);
long fourth = Long.valueOf(split[3]);
if (first < 256 && first > 0
&& second < 256 && second >= 0
&& third < 256 && third >= 0
&& fourth < 256 && fourth >= 0) {
if (first == 10) {
return false;
}
if (first == 172 && (second >= 16 && second <= 31)) {
return false;
}
if (first == 192 && second == 168) {
return false;
}
return true;
}
return false;
} catch (NumberFormatException e) {
return false;
}
}