【Go】獲取使用者真實的ip地址

qiyin發表於2019-03-28

原文連結:https://blog.thinkeridea.com/201903/go/get_client_ip.html

使用者請求到達提供服務的伺服器中間有很多的環節,導致服務獲取使用者真實的 ip 非常困難,大多數的框架及工具庫都會封裝各種獲取使用者真實 ip 的方法,在 exnet 包中也封裝了各種 ip 相關的操作,其中就包含獲取客戶端 ip 的方法,比較實用的方法如下:

  • func ClientIP(r *http.Request) string ClientIP 盡最大努力實現獲取客戶端 IP 的演算法。 解析 X-Real-IP 和 X-Forwarded-For 以便於反向代理(nginx 或 haproxy)可以正常工作。
  • func ClientPublicIP(r *http.Request) string ClientPublicIP 盡最大努力實現獲取客戶端公網 IP 的演算法。 解析 X-Real-IP 和 X-Forwarded-For 以便於反向代理(nginx 或 haproxy)可以正常工作。
  • func HasLocalIP(ip net.IP) bool HasLocalIP 檢測 IP 地址是否是內網地址
  • func HasLocalIPddr(ip string) bool HasLocalIPddr 檢測 IP 地址字串是否是內網地址
  • func RemoteIP(r *http.Request) string RemoteIP 通過 RemoteAddr 獲取 IP 地址, 只是一個快速解析方法。

獲取使用者真實ip地址

ClientIP 方法 與 ClientPublicIP 方法的實現類似,只是一個按照 http 協議約定獲取客戶端 ip, 一個按照約定格式查詢到公網 ip。

在網路與服務架構、業務邏輯複雜的環境中,按照 http 協議約定的方式,並非總能獲取到真實的 ip,在我們的業務中使用者流量經由三方多層級轉發(都是三方自己實現的http client) ,難免會出現一些紕漏,這時越往後的服務獲取使用者真實 ip 越加困難,你甚至不知道自己獲取的 ip 是否是真實的。

但是我們的客戶經由三方轉發而來的流量,那麼客戶極大多數甚至排除測試之外都是公網使用者,結合使用 ClientPublicIPClientIP 方法總能更好的獲取使用者的真實 ip。

// var r *http.Request
ip := exnet.ClientPublicIP(r)
if ip == ""{
  ip = exnet.ClientIP(r)
}

用上面的方法總能有效的獲取使用者真實的 ip 地址,下面分析下兩個方法的具體實現。

// ClientIP 盡最大努力實現獲取客戶端 IP 的演算法。
// 解析 X-Real-IP 和 X-Forwarded-For 以便於反向代理(nginx 或 haproxy)可以正常工作。
func ClientIP(r *http.Request) string {
    xForwardedFor := r.Header.Get("X-Forwarded-For")
    ip := strings.TrimSpace(strings.Split(xForwardedFor, ",")[0])
    if ip != "" {
        return ip
    }

    ip = strings.TrimSpace(r.Header.Get("X-Real-Ip"))
    if ip != "" {
        return ip
    }

    if ip, _, err := net.SplitHostPort(strings.TrimSpace(r.RemoteAddr)); err == nil {
        return ip
    }

    return ""
}

ClientIP 首先讀取 X-Forwarded-For header 中用 , 分隔的第一個ip地址,如果這個地址不存在,就會從 X-Real-Ip header 中獲取,如果還是不存在,說明流量並非是由反向代理轉發而來,而是客戶端直接請求服務,這時通過 http.Request.RemoteAddr 欄位擷取除去埠號的 ip 地址。

這個方法很簡單,就是按照 http 約定的格式獲取,其中 X-Forwarded-ForX-Real-Ip header 由反向代理填充,例如 nginx 或 haproxy。

// ClientPublicIP 盡最大努力實現獲取客戶端公網 IP 的演算法。
// 解析 X-Real-IP 和 X-Forwarded-For 以便於反向代理(nginx 或 haproxy)可以正常工作。
func ClientPublicIP(r *http.Request) string {
    var ip string
    for _, ip = range strings.Split(r.Header.Get("X-Forwarded-For"), ",") {
        ip = strings.TrimSpace(ip)
        if ip != "" && !HasLocalIPddr(ip) {
            return ip
        }
    }

    ip = strings.TrimSpace(r.Header.Get("X-Real-Ip"))
    if ip != "" && !HasLocalIPddr(ip) {
        return ip
    }

    if ip, _, err := net.SplitHostPort(strings.TrimSpace(r.RemoteAddr)); err == nil {
        if !HasLocalIPddr(ip) {
            return ip
        }
    }

    return ""
}

ClientPublicIP 很簡單,和 ClientIP 方法的讀取順序一樣,只是試圖中 X-Forwarded-For 列表中找到一個公網ip,如果沒有檢查 X-Real-Ip 是否是一個公網 ip,其次檢查 http.Request.RemoteAddr 是否是公網ip,如果沒有找到公網 ip 這返回一個空字串。

這個方法可以讓我們有機會優先獲取到使用者的公網 ip,往往公網 ip 對我們來說更有價值。

檢查ip對否是內網地址

exnet 中還提供了檢查 ip 地址是否是內網地址,這在有些情況下非常有用,比如:服務中有些介面只能內網訪問,也就是隻允許管理員訪問(例如動態設定日誌級別、檢視服務 pprof 資訊);我們想隱藏後端服務,只暴露給使用者負載均衡(反向代理),使用者無法直接訪問我們的服務,這些方法及其有用,下面看看具體實現。

我的服務提供了動態設定日誌級別,以便服務出現問題,可以第一時間檢視除錯日誌分析具體原因,但是這個介面很危險,不應該暴露給公網,所以會用路由中介軟體檢查請求是否來自公網,來自公網則返回 404。

該方法認為如下地址段都是內網地址:

10.0.0.0/8
169.254.0.0/16
172.16.0.0/12
172.17.0.0/12
172.18.0.0/12
172.19.0.0/12
172.20.0.0/12
172.21.0.0/12
172.22.0.0/12
172.23.0.0/12
172.24.0.0/12
172.25.0.0/12
172.26.0.0/12
172.27.0.0/12
172.28.0.0/12
172.29.0.0/12
172.30.0.0/12
172.31.0.0/12
192.168.0.0/16
// HasLocalIPddr 檢測 IP 地址字串是否是內網地址
func HasLocalIPddr(ip string) bool {
    return HasLocalIP(net.ParseIP(ip))
}

// HasLocalIP 檢測 IP 地址是否是內網地址
func HasLocalIP(ip net.IP) bool {
    for _, network := range localNetworks {
        if network.Contains(ip) {
            return true
        }
    }

    return ip.IsLoopback()
}

兩個檢查方法實現差異僅接受引數型別不一致,檢查過程都是逐個對比內網 ip 段是否包含該ip地址,如果不包含則判斷該地址是否是迴環地址。

獲取反向代理ip

如何判斷改地址來自反向代理伺服器呢,不同的反向代理實現都有些差異,4 層反向代理甚至可以提供使用者的真實 ip(http.Request.RemoteAddr 是使用者的ip,而不是反向代理的), 而隱藏自己的ip,這裡說一下常見的方法。

往往 http.Request.RemoteAddr 儲存最後一個連線服務的客戶端 ip,我們獲取反向代理的ip地址,最簡單有效的方法就是通過 http.Request.RemoteAddr 獲取, exnet 中提供了 RemoteIP 的快捷方法,實現如下:

// RemoteIP 通過 RemoteAddr 獲取 IP 地址, 只是一個快速解析方法。
func RemoteIP(r *http.Request) string {
    if ip, _, err := net.SplitHostPort(strings.TrimSpace(r.RemoteAddr)); err == nil {
        return ip
    }

    return ""
}

這是一個非常方便的腳手架,它僅僅切分 http.Request.RemoteAddr 的 ip 和埠,並返回有效的ip地址,但卻可以簡化我們的編寫業務程式碼。

轉載:

本文作者: 戚銀(thinkeridea

本文連結: https://blog.thinkeridea.com/201903/go/get_client_ip.html

版權宣告: 本部落格所有文章除特別宣告外,均採用 CC BY 4.0 CN協議 許可協議。轉載請註明出處!

相關文章