HttpServletRequest对象中获取客户端IP地址

什么是HttpServletRequest对象

HttpServletRequest对象是Java Servlet规范中定义的一种接口，它封装了客户端请求的所有信息，例如请求头、请求参数、请求方法、请求URL等。在Java Web开发中，HttpServletRequest对象非常常用，可以用来处理各种HTTP请求。

获取客户端IP地址的需求

在一些场景下，我们需要获取客户端的IP地址，例如：

网站的访问日志需要记录客户端IP地址，以便进行统计分析；

在网站防火墙、网站访问控制和购物车系统等应用中，需要限制某些IP地址的访问；

在会员系统中，需要根据IP地址进行安全认证和风控控制；

为了实现上述需求，我们需要在Java Web应用中获取客户端的IP地址。

从HttpServletRequest对象中获取IP地址

在Java Web应用中，我们可以通过HttpServletRequest对象中的getRemoteAddr()方法获取客户端的IP地址。例如：

String ipAddress = request.getRemoteAddr();

这个方法可以获取当前客户端的IP地址，但是有一个缺点，它获取的是Web应用服务器所接收到的客户端请求的IP地址，并不一定是客户端真实的IP地址。因为在现代网络环境下，往往存在代理服务器等中间节点，客户端请求可能经过多个服务器才最终到达Web应用服务器，这就导致了getRemoteAddr()方法不能获取真实的客户端IP地址。

为了获取客户端真实的IP地址，我们需要从请求头中获取该信息，HttpServletRequest对象中提供了一些获取请求头参数的方法，例如：

String headerValue = request.getHeader("Header-Name");

其中，"Header-Name"是请求头名称，我们可以通过该方法获取到请求头中指定的参数。因此，我们可以从请求头中获取客户端IP地址。

根据RFC7239规范（Forwarded HTTP Extension），代理服务器应该设置X-Forwarded-For请求头参数，并将客户端IP地址放在该参数中传递给下一个代理服务器或Web应用服务器。因此，我们可以从X-Forwarded-For请求头参数中获取客户端IP地址。

下面是一段获取客户端IP地址的示例代码：

public static String getRemoteIP(HttpServletRequest request) {

String ip = request.getHeader("x-forwarded-for");

if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {

ip = request.getHeader("Proxy-Client-IP");

}

if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {

ip = request.getHeader("WL-Proxy-Client-IP");

}

if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {

ip = request.getRemoteAddr();

}

return ip;

}

这段代码首先尝试从"X-Forwarded-For"请求头中获取客户端IP地址，如果没有获取成功，接着从"Proxy-Client-IP"和"WL-Proxy-Client-IP"请求头中依次获取客户端IP地址。如果还是没有获取成功，则返回HttpServletRequest对象中的IP地址。

而为了应对某些情况下代理服务器未设置X-Forwarded-For请求头的问题，我们也可以尝试从HTTP请求中解析出客户端IP地址。下面是一个示例代码：

public static String getRemoteIP(HttpServletRequest request) {

String ip = request.getHeader("x-forwarded-for");

if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {

ip = request.getHeader("Proxy-Client-IP");

}

if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {

ip = request.getHeader("WL-Proxy-Client-IP");

}

if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) {

ip = request.getRemoteAddr();

}

if (ip != null && ip.indexOf(",") >0 {

String[] parts = ip.split(“,”);

for (String part : parts) {

if (!part.isEmpty() && !“unknown”.equalsIgnoreCase(part)) {

ip = part.trim();

break;

}

}

}

if (“0:0:0:0:0:0:0:1”.equals(ip)) {

ip = “127.0.0.1”;

}

return ip;

}

这段代码与前面的代码基本一致，只是在最后多加了一些处理逻辑。如果上述方法获取的IP地址长度大于15，并且包含逗号，则从逗号之前截取IP地址。如果最终获取到的IP地址是"0:0:0:0:0:0:0:1"，则将其转换为"127.0.0.1"。这些处理可以防止获取到的IP地址不完整或包含错误字符导致的问题。

注意事项

1. 获取客户端IP地址的方法并非绝对可靠，因为代理服务器和负载均衡器等中间节点的设置和配置可能会导致IP地址被伪造或遗漏。
2. 在一些场景中，我们需要对某些IP地址进行限制或认证，此时如果客户端使用了代理服务器，则可能需要使用代理服务器的IP地址或Header信息进行认证或限制。
3. 在使用HttpServletRequest对象获取客户端IP地址的过程中，需要注意不要被恶意的Header参数所影响，可能需要进行安全的处理