JSP如何擷取用戶端真實IP地址_JSP編程

在JSP中，擷取用戶端IP的方法為：request.getRemoteAddr()。這種方法在大部分情況下都是有效，但是在通過了Apache,Squid等反向 Proxy軟體就不能擷取到用戶端的真實IP地址了。

如果使用了反向 Proxy軟體，將http://192.168.1.110:3306/ 的URL反向 Proxy為http://www.8888.com/ 的URL時，用request.getRemoteAddr()方法擷取的IP地址是：127.0.0.1　或　192.168.1.110，而並不是用戶端的真實IP。

經過代理以後，由於在用戶端和服務之間增加了中介層，因此伺服器無法直接拿到用戶端的IP，伺服器端應用也無法直接通過轉寄請求的地址返回給用戶端。但是在轉寄請求的HTTP頭資訊中，增加了X－FORWARDED－FOR資訊。用以跟蹤原有的用戶端IP地址和原來用戶端請求的伺服器位址。當我們訪問http://www.8888.com/index.jsp/ 時，其實並不是我們瀏覽器真正訪問到了伺服器上的index.jsp檔案，而是先由Proxy 伺服器去訪問http://192.168.1.110:3306/index.jsp ，Proxy 伺服器再將訪問到的結果返回給我們的瀏覽器，因為是Proxy 伺服器去訪問index.jsp的，所以index.jsp中通過request.getRemoteAddr()的方法擷取的IP實際上是Proxy 伺服器的地址，並不是用戶端的IP地址。

於是可得出獲得用戶端真實IP地址的方法一：

public String getRemortIP(HttpServletRequest request){  if (request.getHeader("x-forwarded-for") == null)  {    return request.getRemoteAddr();  }  return request.getHeader("x-forwarded-for");}

可是當我訪問http://www.xxx.com/index.jsp/ 時，返回的IP地址始終是unknown，也並不是如上所示的127.0.0.1　或　192.168.1.110了，而我訪問http://192.168.1.110:3306/index.jsp 時，則能返回用戶端的真實IP地址，寫了個方法去驗證。原因出在了Squid上。squid.conf 的配製檔案 forwarded_for 項預設是為on，如果 forwarded_for 設成了 off 則：X-Forwarded-For: unknown

於是可得出獲得用戶端真實IP地址的方法二：

public String getIpAddr(HttpServletRequest request){  String ip = request.getHeader("x-forwarded-for");  if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))  {    ip = request.getHeader("Proxy-Client-IP");  }  if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))  {    ip = request.getHeader("WL-Proxy-Client-IP");  }  if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip))  {    ip = request.getRemoteAddr();  }  return ip;}

可是，如果通過了多級反向 Proxy的話，X-Forwarded-For的值並不止一個，而是一串IP值，究竟哪個才是真正的使用者端的真實IP呢？

答案是：取X-Forwarded-For中第一個非unknown的有效IP字串。

如:X-Forwarded-For：192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100

使用者真實IP為： 192.168.1.110

上面兩種方法都是可行的，千萬不要單單使用 request.getRemoteAddr() 方法擷取用戶端 IP，這種方法是不理想的。

希望這篇文章對大家的學習有所協助。