获取客户端“真实”IP

# 背景
WEB服务总是对客户端的IP很感兴趣：地理统计、地理定位、审计、速率限制、滥用阻止、会话历史等。

# 如何获取客户端IP

## 1. `req.connection.remoteAddress`
### 1.1 什么是[`remoteAddress`](http://nodejs.cn/api/net/socket_remoteaddress.html)
和服务器建立TCP连接的客户端IP，这里的客户端不是发起请求的最初的客户端，可能是代理服务器。

### 1.2 `req.connection.remoteAddress`, `req.socket.remoteAddress`和`req.connection.socket.remoteAddress`区分
这三个属性都是获取`remoteAddress`，但由于nodejs版本问题导致使用上稍稍不同：
> As of node 0.4.7, it seems`http` has `remoteAddress` available on:
> - `req.connection.remoteAddress`
> - `req.socket.remoteAddress`
> on`https`, both of these are undefined, but
> `req.connection.socket.remoteAddress` does work. That one isn't available on http though, so you need to check carefully. I cannot imagine this behavior is intentional.

综上获取`remoteAddress`一般采用这种写法：
```js
function getRemoteAddress(req) {
  return req.connection.remoteAddress
    || req.socket.remoteAddress
    || req.connection.socket.remoteAddress
}
```

### 1.3 小结
1. `remoteAddress`是TCP三次握手的IP，是无法修改的；
2. 如果客户端进过了代理，服务器通过`remoteAddress`获取到的最近的代理服务器的IP，并不是最原始客户端IP。

## 2. [HTTP `X-Forwarded-For`](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Forwarded-For)
### 2.1 引入背景
现代的网络结构中，客户端的请求要经过一个或者多个代理服务器才能到达最终的web服务器。HTTP [`X-Forwarded-For`](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Forwarded-For)首部就是用来记录当前请求**已经经历了**代理服务器IP。
### 2.2 语法
```js
X-Forwarded-For: client-ip, proxy1-ip, proxy2-ip
```
代理服务器在向下一个节点发送请求的时候，把`remoteAddress`追加到`X-Forwarded-For`首部当前值的后面。
假设客户端（IP=0.0.0.1）向服务器（IP=0.0.0.5）发送请求，中间经过代理1（IP=0.0.0.2）,代理2（IP=0.0.0.3）,代理3（IP=0.0.0.4）：
![image](https://user-images.githubusercontent.com/6823623/176892775-d08ea8e2-80d0-474b-82db-00b87255a16e.png)

### 2.3 小结
1. [`X-Forwarded-For`](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Forwarded-For)首部是由代理服务器设置的（客户端也可以设置），有些代理可能不遵守更新规则，甚至伪造该首部。
2. 服务器是无法利用[`X-Forwarded-For`](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Forwarded-For)首部获取到上一个服务器节点的IP地址的。
职责所在呀，服务器有其他方式获取上一个节点的IP。

## 3. `X-Real-IP`, `True-Client-Ip`等自定义首部 ？？？
大部分代理服务器，CDN厂商都自定义一些自定义首部用于记录客户端IP：
> 1. `CF-Connecting-IP` (Cloudflare)
> 2. `Fastly-Client-Ip` (Fastly CDN and Firebase hosting header when forwared to a cloud function)
> 3. `True-Client-Ip` (Akamai and Cloudflare)
> 4. `X-Real-IP` (Nginx proxy/FastCGI)
> 5. `X-Cluster-Client-IP` (Rackspace LB, Riverbed Stingray)
> 6. ...

可参考库[request-ip](https://github.com/pbojinov/request-ip/blob/master/src/index.js#L57-L118)的实现。这些自定义首部都是非标准的，他们都表示客户端IP吗？

### 3.1 `X-Real-IP`
1. `X-Real-IP`通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP，这个设备可能是其他代理，也可能是真正的请求端。
即HTTP代理用`X-Real-IP`告诉下个节点的服务器，自己的`remoteAddress`是啥，相当于`X-Forwarded-For`首部最右边的IP。

2. `X-Real-IP`要比`X-Forwarded-For`优先级更高吗？
好像没有固定答案，各种库的实现也行为不一致。
[X-Real-IP should probably be preferred over X-Forwarded-For in _extraClientIP directive?](https://github.com/akka/akka-http/issues/1670)
[“真实”客户端 IP 的危险](https://adam-p.ca/blog/2022/03/x-forwarded-for/) 


# nodejs实现
简单实现：
```js
function getClientIp(req) {
  return (req.headers['x-forwarded-for'] || '').split(',')[0] 
    || req.connection.remoteAddress
}
```
比较完整的实现可参考库[request-ip](https://github.com/pbojinov/request-ip/blob/master/src/index.js#L57-L118)的实现

# 参考
1. [MDN X-Forwarded-For](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Forwarded-For)
4. [X-Forwarded-For 和 X-Real-IP 的区别](https://blog.mimvp.com/article/33461.html)
5. [How to find out the remote Address in node.js if it is HTTPS request?](https://stackoverflow.com/questions/5999379/how-to-find-out-the-remote-address-in-node-js-if-it-is-https-request)
6. [request-ip](https://github.com/pbojinov/request-ip)
7. [“真实”客户端 IP 的危险](https://adam-p.ca/blog/2022/03/x-forwarded-for/) 
8. [Nginx Windows详细安装部署教程](https://www.cnblogs.com/taiyonghai/p/9402734.html)

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

获取客户端“真实”IP #252

背景

如何获取客户端IP

1. `req.connection.remoteAddress`

1.1 什么是`remoteAddress`

1.2 `req.connection.remoteAddress`, `req.socket.remoteAddress`和`req.connection.socket.remoteAddress`区分

1.3 小结

2. HTTP `X-Forwarded-For`

2.1 引入背景

2.2 语法

2.3 小结

3. `X-Real-IP`, `True-Client-Ip`等自定义首部？？？

3.1 `X-Real-IP`

nodejs实现

参考

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

获取客户端“真实”IP #252

Description

背景

如何获取客户端IP

1. req.connection.remoteAddress

1.1 什么是remoteAddress

1.2 req.connection.remoteAddress, req.socket.remoteAddress和req.connection.socket.remoteAddress区分

1.3 小结

2. HTTP X-Forwarded-For

2.1 引入背景

2.2 语法

2.3 小结

3. X-Real-IP, True-Client-Ip等自定义首部 ？？？

3.1 X-Real-IP

nodejs实现

参考

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions

1. `req.connection.remoteAddress`

1.1 什么是`remoteAddress`

1.2 `req.connection.remoteAddress`, `req.socket.remoteAddress`和`req.connection.socket.remoteAddress`区分

2. HTTP `X-Forwarded-For`

3. `X-Real-IP`, `True-Client-Ip`等自定义首部？？？

3.1 `X-Real-IP`