X-Forwarded-For客户端IP伪造及防范

    前言：由于互联网Web应用很少会将应用服务器直接对外提供服务，一般都会有一层Nginx做代理和负载均衡，有的甚至可能有多层代理，并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP，那么如何防止伪造IP呢？本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端的真实IP。
    1. 没有代理
        单纯的web应用，没有做代理的情况下，Java获取客户端真实IP，最简单的方式是request.getRemoteAddr()，此方法能获取TCP连接端客户端真实IP；当然，在没有伪造IP的情况下request.getHeader("x-forwarded-for")也可以获取客户端真实IP，如果客户端伪造请求头信息，比如设置请求头信息"x-forwarded-for:伪造IP"，那么通过x-forwarded-for获取的IP为："伪造IP,真实IP",可通过","解析，获取最后一个IP，即为真实IP，具体代码如下：

    //获取request对象，或者直接来自controller控制层
    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端TCP连接真实IP
    String ip = request.getRemoteAddr();
    //此方法获取的IP可能包含伪造IP
    String ip = request.getHeader("x-forwarded-for");

    2. Nginx做代理
        在有代理的情况下，由于任何请求首先经过Nginx，故通过request.getRemoteAddr()获取的其实是Nginx的IP，并非真实的客户端IP;此时通过x-forwarded-for获取的IP为："客户端，代理1，代理2，..."或者"伪造IP,客户端，代理1，代理2，..."，故不能获取到准确的客户端IP，此时需要配置Nginx TCP客户端连接的真实IP，通过代理配置获取真实IP，可以通过$remote_addr获取客户端IP，Nginx配置如下：
    location / {
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
                ...
            }

    此时获取客户端IP的代码如下：

    RequestAttributes ra = RequestContextHolder.getRequestAttributes();
    ServletRequestAttributes sra = (ServletRequestAttributes) ra;
    HttpServletRequest request = sra.getRequest();
    //客户端真实IP
    String ip = request.getHeader("X-Real-IP");