Nginx 代理配置引數
先來看下proxy_set_header的語法
| 語法: | proxy_set_header |
| 預設值: |
proxy_set_header Host $proxy_host; proxy_set_header Connection close; |
| 上下文: | http, server, location |
允許重新定義或者添加發往後端伺服器的請求頭。value可以包含文字、變數或者它們的組合。 當且僅當當前配置級別中沒有定義proxy_set_header指令時,會從上面的級別繼承配置。 預設情況下,只有兩個請求頭會被重新定義:
proxy_set_header Host $proxy_host; proxy_set_header Connection close;
proxy_set_header也可以自定義引數,如:proxy_set_header test paroxy_test;
如果想要支援下劃線的話,需要增加如下配置:
underscores_in_headers on;
可以加到http或者server中
語法:underscores_in_headers on|off 預設值:off 使用欄位:http, server 是否允許在header的欄位中帶下劃線
在java端,需要獲取proxy_set_header的引數時,需要使用request.getHeader(field),一般用來獲取真實ip地址
--------------------------------------------------------------------------------------------------------------------------------------------------------------
使用Nginx後如何在web應用中獲取使用者ip及原理解釋
問題背景:
在實際應用中,我們可能需要獲取使用者的ip地址,比如做異地登陸的判斷,或者統計ip訪問次數等,通常情況下我們使用request.getRemoteAddr()就可以獲取到客戶端ip,但是當我們使用了nginx作為反向代理後,使用request.getRemoteAddr()獲取到的就一直是nginx伺服器的ip的地址,那這時應該怎麼辦?
part1:解決方案
我在查閱資料時,有一本名叫《實戰nginx》的書,作者張晏,這本書上有這麼一段話“經過反向代理後,由於在客戶端和web伺服器之間增加了中間層,因此web伺服器無法直接拿到客戶端的ip,通過$remote_addr變數拿到的將是反向代理伺服器的ip地址”。這句話的意思是說,當你使用了nginx反向伺服器後,在web端使用request.getRemoteAddr()(本質上就是獲取$remote_addr),取得的是nginx的地址,即$remote_addr變數中封裝的是nginx的地址,當然是沒法獲得使用者的真實ip的,但是,nginx是可以獲得使用者的真實ip的,也就是說nginx使用$remote_addr變數時獲得的是使用者的真實ip,如果我們想要在web端獲得使用者的真實ip,就必須在nginx這裡作一個賦值操作,如下:
proxy_set_header X-real-ip $remote_addr;
其中這個X-real-ip是一個自定義的變數名,名字可以隨意取,這樣做完之後,使用者的真實ip就被放在X-real-ip這個變數裡了,然後,在web端可以這樣獲取:
request.getHeader("X-real-ip")
這樣就明白了吧。
part2:原理介紹
這裡我們將nginx裡的相關變數解釋一下,通常我們會看到有這樣一些配置
server {
listen 88;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location /{
root html;
index index.html index.htm;
proxy_pass http://backend;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-real-ip $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# proxy_set_header X-Forwarded-For $http_x_forwarded_for;
}
我們來一條條的看
1. proxy_set_header X-real-ip $remote_addr;
這句話之前已經解釋過,有了這句就可以在web伺服器端獲得使用者的真實ip
但是,實際上要獲得使用者的真實ip,不是隻有這一個方法,下面我們繼續看。
2. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
我們先看看這裡有個X-Forwarded-For變數,這是一個squid開發的,用於識別通過HTTP代理或負載平衡器原始IP一個連線到Web伺服器的客戶機地址的非rfc標準,如果有做X-Forwarded-For設定的話,每次經過proxy轉發都會有記錄,格式就是client1, proxy1, proxy2,以逗號隔開各個地址,由於他是非rfc標準,所以預設是沒有的,需要強制新增,在預設情況下經過proxy轉發的請求,在後端看來遠端地址都是proxy端的ip 。也就是說在預設情況下我們使用request.getHeader("X-Forwarded-For")獲取不到使用者的ip,如果我們想要通過這個變數獲得使用者的ip,我們需要自己在nginx新增如下配置:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
意思是增加一個$proxy_add_x_forwarded_for到X-Forwarded-For裡去,注意是增加,而不是覆蓋,當然由於預設的X-Forwarded-For值是空的,所以我們總感覺X-Forwarded-For的值就等於$proxy_add_x_forwarded_for的值,實際上當你搭建兩臺nginx在不同的ip上,並且都使用了這段配置,那你會發現在web伺服器端通過request.getHeader("X-Forwarded-For")獲得的將會是客戶端ip和第一臺nginx的ip。
那麼$proxy_add_x_forwarded_for又是什麼?
$proxy_add_x_forwarded_for變數包含客戶端請求頭中的"X-Forwarded-For",與$remote_addr兩部分,他們之間用逗號分開。
舉個例子,有一個web應用,在它之前通過了兩個nginx轉發,www.linuxidc.com 即使用者訪問該web通過兩臺nginx。
在第一臺nginx中,使用
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
現在的$proxy_add_x_forwarded_for變數的"X-Forwarded-For"部分是空的,所以只有$remote_addr,而$remote_addr的值是使用者的ip,於是賦值以後,X-Forwarded-For變數的值就是使用者的真實的ip地址了。
到了第二臺nginx,使用
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
現在的$proxy_add_x_forwarded_for變數,X-Forwarded-For部分包含的是使用者的真實ip,$remote_addr部分的值是上一臺nginx的ip地址,於是通過這個賦值以後現在的X-Forwarded-For的值就變成了“使用者的真實ip,第一臺nginx的ip”,這樣就清楚了吧。
最後我們看到還有一個$http_x_forwarded_for變數,這個變數就是X-Forwarded-For,由於之前我們說了,預設的這個X-Forwarded-For是為空的,所以當我們直接使用proxy_set_header X-Forwarded-For $http_x_forwarded_for時會發現,web伺服器端使用request.getHeader("X-Forwarded-For")獲得的值是null。如果想要通過request.getHeader("X-Forwarded-For")獲得使用者ip,就必須先使用proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;這樣就可以獲得使用者真實ip。