Nginx前端設置反向代理，後端Apache如何獲取訪客的真實IP，結合PHP。

nginx反向代理後，在應用中取得的ip都是反向代理服務器的ip，取得的域名也是反向代理配置的url的域名，解決該問題，須要在nginx反向代理配置中添加一些配置信息，目的將客戶端的真實ip和域名傳遞到應用程序中。

①：php獲取REMOTE_ADDR就是這樣一個狀況(內網地址)。
②：獲取的是攻擊者僞造的ip地址。攻擊者能夠隨便僞造一個頭部信息，隨便填寫一個ip放到頭部發過來，php獲取到HTTP_CLIENT_IP就是這樣一個狀況。僞造的ip，致使咱們數據庫存儲是假的ip，無從真實去判斷攻擊者的來源。好比批量註冊賬號的註冊ip，登陸的ip等。
配置以下：

location ~* \.(jpg|png|gif)$ {
     proxy_set_header  X-Forwarded-For $remote_addr;  
     #proxy_pass http://....
}
location ~ \.php$ {
     proxy_set_header  X-Forwarded-For $remote_addr;
     #proxy_pass http://....
}

PHP代碼：

function getIP() {
          $ip = "unknown";   
        if (getenv("HTTP_X_FORWARDED_FOR")) {
            //這個提到最前面，做爲優先級,nginx代理會獲取到用戶真實ip,發在這個環境變量上，必需要nginx配置這個環境變量HTTP_X_FORWARDED_FOR
            $ip = getenv("HTTP_X_FORWARDED_FOR");
        } else if (getenv("REMOTE_ADDR")) {
           //在nginx做爲反向代理的架構中，使用REMOTE_ADDR拿到的將會是反向代理的的ip，即拿到是nginx服務器的ip地址。每每表現是一個內網ip。
            $ip = getenv("REMOTE_ADDR");
        } else if ($_SERVER['REMOTE_ADDR']) {
            $ip = $_SERVER['REMOTE_ADDR'];
        } else if (getenv("HTTP_CLIENT_IP")) {
            //HTTP_CLIENT_IP攻擊者能夠僞造一個這樣的頭部信息，致使獲取的是攻擊者隨意設置的ip地址。
            $ip = getenv("HTTP_CLIENT_IP");
        }
        return $ip;
 }

總結

在nginx做爲反向代理的架構中，php的REMOTE_ADDR(其餘語言也是相似的名稱)拿到的將會是nginx代理的ip地址。拿不到用戶的真實ip,拿到是nginx反向代理服務器地址。
REMOTE_ADDR本意就是遠程的地址，nginx是代理層，轉發請求到php，php獲取到的遠程地址其實是nginx反向代理服務器ip，這是符合協議規則的。
可是，可讓nginx幫助咱們拿到用戶的真實ip，寫到一個環境變量中，而後轉發給咱們，只要按照某個約定的名稱便可，好比約定名稱爲HTTP_X_FORWARD_FOR(也能夠約定其餘名稱,關鍵看nginx中配置,能夠全公司考慮統一)。
nginx配置相似於這樣：

fastcgi_param  HTTP_X_FORWARD_FOR  $remote_addr;

上一句的目的是，將HTTP_X_FORWARD_FOR的值設置爲$remote_addr的值。也就是將用戶真實的ip(或用戶使用代理的ip)放到HTTP_X_FORWARD_FOR中去。
$remote_addr是nginx的內置變量，這個變量它獲得是用戶真實的ip地址(用戶使用了代理，則就是代理的ip地址)。
因而在php端經過getenv("HTTP_X_FORWARDED_FOR")就能夠獲取到nginx傳遞過來的值，是用戶真實的ip地址。