Laravel框架中 getClientIps() 原理和用法

Mr-houzi發表於2020-07-20

起因是用 $request->ip() 來獲取 ip 限流，突然遭到大面積誤殺。排查 access.log 日誌，幾乎所有請求的 $remote_addr ，都為某幾個固定 ip。諮詢運維後發現是他悄悄給前端加了 cdn。那為何會產生這種問題呢？

remote_addr 和 http_x_forwarded_for

先來了解一下前置知識。

remote_addr 是真實的與 Web 服務建立連線的 ip。在不經過代理伺服器的時候，能獲取到使用者真實IP，不可偽造。

但多數請求都經過反向代理、CDN加速等服務，再到達 Web 服務。這時候與 Web 服務真實建立連線的就是代理伺服器。相應地 remote_addr 的值也變成了代理伺服器的 ip。那麼經過代理伺服器的服務，如何才能獲取到使用者真實IP呢？

X-Forwarded-For 則應運而生。它是一個 HTTP 擴充套件頭部，用來記錄一個請求途徑伺服器的ip，可以理解為一個 ip 鏈條。每途徑一臺代理伺服器，它會把訪問者的 ip，追加到 X-Forwarded-For 中。

但 X-Forwarded-For 是可以偽造的，客戶端可能從最初發出的請求中 X-Forwarded-For 就攜帶者幾個 ip。

格式如下：

X-Forwarded-For：client_ip, proxy1_ip, proxy2_ip

Laravel 獲取 ip

Symfony 的 Request類中這樣實現 getClientIps()

public function getClientIps()
{
    $ip = $this->server->get('REMOTE_ADDR');

    if (!$this->isFromTrustedProxy()) {
        return [$ip];
    }

    return $this->getTrustedValues(self::HEADER_X_FORWARDED_FOR, $ip) ?: [$ip];
}

首先，從 REMOTE_ADDR 中獲取了與 Web 服務建立真實連線的客戶端 ip。然後，判斷此 ip 是否是受信任的代理，如果不是則直接返回此 ip。最後，呼叫 getTrustedValues() 來獲取和處理 X-Forwarded-For。

（由於 Laravel 預設是受信任代理是空，所以導致了開篇提到的問題，如何設定信任代理見下文）

getTrustedValues() 主要有兩個引入注目的操作：

如果 X-Forwarded-For 的 ip 鏈條中，也存在受信任的代理 ip，會被過濾。
將過濾後的 ip 鏈條反轉返回；如果過濾後的 ip 鏈條為空，則返回受信任的代理 ip。

getClientIps() 返回 ip 連結條，與 X-Forwarded-For 順序相反，這時常會讓開發者踩坑。那為什麼會這麼設計呢？

Symfony開發者在註釋中是這麼解釋的：

返回的陣列中，最受信任的 ip 排在第一位，最不受信任的 ip 排在最後一位。“真實”的客戶端 ip 排在最後一位，但它也是最不受信任的。受信任的代理 ip 已被從中移除。

看完你會恍然大悟。

如何食用

假如，一個請求如下：

client->proxy1->proxy2->proxy3->web service

proxy1-3 是我們的代理伺服器

那麼，它的 X-Forwarded-For：client_ip, p1_ip, p2_ip

由於，proxy1-3 是我們的代理伺服器是可信的。

我們將 p1_ip, p2_ip, p3_ip 加入受信任代理。

namespace App\Http\Middleware;

……

class TrustProxies extends Middleware

{

    protected $proxies = [

        p1_ip, p2_ip, p3_ip

    ];

……

那麼，getClientIps() 會返回

[
    client_ip
]

由於，client_ip 是由 proxy1 代理伺服器追加到 X-Forwarded-For，所以是可信的，可作為使用者的真實IP。

如果，客戶端請求前 X-Forwarded-For 就已有一個 ip（client0_ip）

getClientIps() 會返回

// 信任度從高到底
[
    client_ip,
    client0_ip
]

client0 有可能是使用者真實的ip，也有可能是自己偽造的 X-Forwarded-For，並不能信任它。

參考文章

www.cnblogs.com/lcawen/articles/92...

部落格：關於 Laravel 使用了 CDN 獲取真實 IP 記錄

PS：寫完後，發現一篇寫的很棒的文章 segmentfault.com/a/119000002208025...

本作品採用《CC 協議》，轉載必須註明作者和本文連結

Laravel Query Builder 原理及用法
2017-10-01
LaravelUI
Java中ThreadLocal的用法和原理
2023-04-12
Javathread
php的lavarel框架中join和orWhere的用法
2020-12-27
PHP框架
node中事件(events)模組一些用法和原理
2018-03-26
事件
Laravel 核心--深入剖析 Laravel 框架 Jwt 元件的實現原理
2020-12-28
Laravel框架JWT元件
Laravel 模型的 scope 普通用法和全域性用法
2019-10-08
Laravel模型
Laravel 中 “記住我” 原理分析
2019-08-16
Laravel
Laravel scope用法
2021-02-01
Laravel
Laravel Eloquent 用法
2017-10-13
Laravel
Laravel tap 用法
2017-02-21
Laravel
linux中#和## 用法
2014-06-05
Linux
PHP 轉 Go，用 Laravel、thinkphp 的用法造了一個 ThinkGo 框架
2019-05-14
PHPGoLaravel框架
Laravel 中 $request 獲取請求資訊用法總結
2020-07-02
Laravel
Laravel-admin 用法
2019-12-26
Laravel
（基礎系列）object clone 的用法、原理和用途
2017-09-18
Object
js中try和catch的用法
2020-10-12
JS
C#中？和？？及？：的用法
2024-04-08
C#
Laravel框架關鍵技術解析（2）Laravel框架初識
2018-04-01
Laravel框架
Laravel 管道流原理
2017-07-07
Laravel
swoole加速laravel框架
2021-05-08
Laravel框架
golang web框架，golang版本laravel 框架
2020-12-19
GolangWeb框架Laravel
Laravel 框架中 whereRaw like 引數繫結問題
2020-05-19
Laravel框架
關於Laravel框架中Guard的底層實現
2021-03-18
Laravel框架
Laravel框架中縮小Vue應用的體積
2018-01-25
Laravel框架Vue
Java動態代理—框架中的應用場景和基本原理
2020-11-22
Java框架
Java動態代理——框架中的應用場景和基本原理
2020-11-01
Java框架
ThreadLocal用法及原理
2019-03-22
thread
oracle中的exists和not exists和in用法詳解
2010-10-02
Oracle
js中!和!!的區別與用法
2020-05-18
JS
Java 中 this 和 super 的用法詳解
2021-07-30
Java
JS中的!=、== 、!==、=== 的用法和區別
2018-08-10
JS
React中的Context和Portals用法
2018-07-29
ReactContext
sql中union和union all的用法
2020-12-31
SQL
JS中的！=、== 、！==、===的用法和區別。
2016-03-07
JS
JS中apply和call的用法
2016-03-10
JSAPP
TCanvas中SaveDC和RestoreDC的用法 (轉)
2008-01-06
CanvasREST
SQL中IN和EXISTS用法的區別
2013-02-17
SQL
各種前端框架中的路由原理解析
2017-04-21
前端框架路由

Laravel框架中 getClientIps() 原理和用法

remote_addr 和 http_x_forwarded_for

Laravel 獲取 ip

如何食用

相關文章