服务端如何安全获取客户端请求IP地址

　　服务端如何获取客户端请求IP地址，网上代码一搜一大把。其中比较常见有x-forwarded-for、client-ip等请求头，及remote_addr参数，那么为什么会存在这么多获取方式，以及到底怎样获取才是安全的呢？

一、remote_addr、x-forwarded-for、client-ip是神马？

　　remote_addr指的是当前直接请求的客户端IP地址，它存在于tcp请求体中，是http协议传输时自动添加的，不受请求头header所控制。所以，当客户端与服务器间不存在任何代理时，通过remote_addr获取客户端IP地址是最准确的，也是最安全的。

　　x-forwarded-for简称XFF，它其实和http协议本身并没什么关系，是很多代理服务器在请求转发时添加上去的。如果客户端和服务器之间存在代理服务器，那么直接通过remote_addr获取的IP就是代理服务器的地址，并不是客户端真实的IP地址。因此，需要代理服务器（通常是反向代理服务器）将真实客户端的IP地址转发给服务器，转发时客户端的真实IP地址通常就存在于x-forwarded-for请求头中。

　　client-ip同x-forwarded-for，也是代理服务器添加的用于转发客户端请求的真实IP地址，同样保存于请求头中。

二、总结

　　通过什么参数来获取客户端请求地址是由实际的应用场景决定的：

　　当客户端与服务器之间不存在代理服务器（尤其指服务端反向代理服务器）时，直接通过remote_addr获取客户端请求IP地址。

　　当服务器间存在反向代理服务器时，需要在反向代理服务器中转发客户端真实请求IP地址，可以设置x-forwarded-for、client-ip，也可以自定义请求头名称，然后在服务端代码中获取请求头中的该值。需要注意的是，此时必须保证服务器不会绕过代理服务器直接对外提供服务，否则存在IP伪造的风险（客户端伪造设置请求头）。

　　nginx设置方式：

proxy_set_header x-rewarded-for $remote_addr;

三、参考资料

　　《构造HTTP请求Header实现“伪造来源IP”》

　　《怎样正确设置remote_addr和x_forwarded_for》

　　《多重代理时如何防止伪造X-Forwarded-For且获取真实IP》