Java 獲取Http請求的IP地址

public class IPUtil {
    public static String getIpAddress(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        return ip.equals("0:0:0:0:0:0:0:1") ? "127.0.0.1" : ip.split(",")[0];
    }
}

通常服務器中都會對request對象進行再包裝

X-Forwarded-For

這是一個 Squid 開發的字段，只有在經過了 HTTP 代理或者負載均衡服務器時纔會添加該項。格式爲X-Forwarded-For: client1, proxy1, proxy2，通常狀況下，第一個ip爲客戶端真實ip，後面的爲通過的代理服務器ip。如今大部分的代理都會加上這個請求頭

Proxy-Client-IP/WL- Proxy-Client-IP

這個通常是通過apache http服務器的請求才會有，用apache http作代理時通常會加上Proxy-Client-IP請求頭，而WL- Proxy-Client-IP是他的weblogic插件加上的頭

HTTP_CLIENT_IP

有些代理服務器會加上此請求頭

X-Real-IP

nginx代理通常會加上此請求頭。

有幾點要注意

一、這些請求頭都不是http協議裏的標準請求頭，也就是說這個是各個代理服務器本身規定的表示客戶端地址的請求頭。若是哪天有一個代理服務器軟件用oooo-client-ip這個請求頭表明客戶端請求，那上面的代碼就不行了。

二、這些請求頭不是代理服務器必定會帶上的，網絡上的不少匿名代理就沒有這些請求頭，因此獲取到的客戶端ip不必定是真實的客戶端ip。代理服務器通常均可以自定義請求頭設置。

三、即便請求通過的代理都會按本身的規範附上代理請求頭，上面的代碼也不能確保得到的必定是客戶端ip。不一樣的網絡架構，判斷請求頭的順序是不同的。

四、最重要的一點，請求頭都是能夠僞造的。若是一些對客戶端校驗較嚴格的應用（好比投票）要獲取客戶端ip，應該直接使用ip = request.getRemoteAddr ()，雖然獲取到的多是代理的ip而不是客戶端的ip，但這個獲取到的ip基本上是不可能僞造的，也就杜絕了刷票的可能。(有分析說arp欺騙+syn有可能僞造此ip，若是真的能夠，這是全部基於TCP協議都存在的漏洞)，這個ip是tcp鏈接裏的ip。