当前位置: 首页 > java >正文

应用无法获取用户真实ip问题排查

java 2025/6/21 10:31:11

现象

领导反馈生产环境的用户ip有问题。登陆到这个页面,发现是所有的用户ip都是172.30.94.97,这是个内部网络ip.

排查过程

1 登陆到应用前端nginx, 查看nginx的请求日志

172.30.94.97 - - [17/Jul/2024:02:02:54 +0000] "POST /***/notify/my-page HTTP/1.1" 200 182 "/report/home?type=2&id=2612&lang=zh_CN" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36" "10.72.44.200"
172.30.94.97 - - [17/Jul/2024:02:02:54 +0000] "POST /***/notify/my-page HTTP/1.1" 200 182 "/home?lang=zh_CN" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" "10.49.140.102"
172.30.94.97 - - [17/Jul/2024:02:02:56 +0000] "POST /***/msg/notify/my-page HTTP/1.1" 200 59 "/user/message/info?lang=zh_CN" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36" "10.13.52.192"

发现第一列展示的ip正好是我们的Java应用代码拿到的iP,而真实的ip展示在最后一列

2 查看nginx的日志输出格式。第一列取的是remote_addr变量,说明这个变量是有问题的 。我们要取的是最后一列http_x_forwarded_for变量

log_format  main   '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';

3 查看Java代码获取客户ip的逻辑。Java代码从6个Header变量中依次找可以用的ip。

    public static String getClientIP(HttpServletRequest request, String... otherHeaderNames) {String[] headers = new String[]{"X-Forwarded-For", "X-Real-IP", "Proxy-Client-IP", "WL-Proxy-Client-IP", "HTTP_CLIENT_IP", "HTTP_X_FORWARDED_FOR"};if (ArrayUtil.isNotEmpty(otherHeaderNames)) {headers = (String[])ArrayUtil.addAll(new String[][]{headers, otherHeaderNames});}return getClientIPByHeader(request, headers);}

4 查看nginx传递过来了哪些Header变量。nginx传递过来了X-Real-IP和X-Forwarded-For,其中X-Real-IP取的是有问题的remote_addr。正好我们Java代码取到的是这个变量。

location ~ ^/(admin-api|rpc-api)/ {client_max_body_size 32m;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http://***:30001;
}

5 根据第二步的分析,将remote_addr修改为http_x_forwarded_for
6 重启nginx,问题解决

K8S网络拓扑

在这里插入图片描述
所有的外部流量一定会通过一个ingress controller进入到K8S的内部。ingress controller的一个常见实现是Nginx,正好我们的k8s选择的就是Nginx。也就是说我们的业务前端nginx前面还有一个nginx。所以我们的前端nginx的remote_addr拿到的是k8s入口ingress的内部ip地址。

总结

用户请求经过两层nginx转发才到达后端java业务应用。remote_addr仅存储上一个转发节点的ip,所以我们的业务应用一直拿的是ingress的ip。http_x_forwarded_for存储的是原始用户的请求ip。

http://www.xdnf.cn/news/13337.html

相关文章:

  • 列表关联数据默认选中分析
  • MySQL 8.0 OCP 英文题库解析(十六)
  • GaussDB分布式数据库调优方法总结:从架构到实践的全链路优化指南
  • 车载软件和整车电子架构正重新定义汽车行业
  • 浏览器拓展-玻璃质感下载管理器
  • < 买了个麻烦 (二) 618 京东云--轻量服务器 > 可以为您申请全额退订呢。 挣取来的,东京云 轻量服务器,可以“全额退款“
  • PyCharm Python IDE
  • 微机原理与接口技术,期末冲刺复习资料(六)
  • openeuler系统(CentOs)图形化桌面黑屏/丢失(开启VNC服务冲突)
  • gbase8s数据库获取jdbc/odbc协议的几种方式
  • 小米15系列摄影进阶:100+专业级相机预设包实测与调参指南
  • 解密Spring Boot:深入理解条件装配与条件注解
  • Python内置类型子类化的陷阱与解决方案
  • STM32的相关概念
  • synchronized 学习序章
  • 精读 2025 《可信数据空间标准体系建设指南》【附全文阅读】
  • 无需安装!在线数据库工具 :实战 SQL 语句经典案例
  • 大模型中Function Call的定义与核心功能
  • NLog 使用示例
  • PLC入门【7】基本指令的总结(MC、MCR)
  • CPU性能篇-系统CPU使用率很高,但找不到高CPU的应用-Day 04
  • 安全编程期末复习34(红色重点向下兼容)
  • 1.3 VSCode安装与环境配置
  • 如何写一份实用的技术文档?——以API接口文档为例
  • Microsoft Azure 马来西亚区域正式上线
  • C语言数据结构笔记5:Keil 编译器优化行为_malloc指针内存分配问题
  • 【动作】动作标签分析和导出系统(按照分类)
  • Python 基础语法(1)【 适合0基础 】
  • 【valse2025】CV与ML领域重要进展
  • 在线客服系统:企业成功的关键支柱