获取客户端ip的代码

外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的：
伪代码：
1）ip = request.getHeader("X-FORWARDED-FOR ")
2）如果该值为空或数组长度为0或等于"unknown"，那么：
ip = request.getHeader("Proxy-Client-IP")
3）如果该值为空或数组长度为0或等于"unknown"，那么：
ip = request.getHeader("WL-Proxy-Client-IP")
4）如果该值为空或数组长度为0或等于"unknown"，那么：
ip = request.getHeader("HTTP_CLIENT_IP")

5）如果该值为空或数组长度为0或等于"unknown"，那么：

ip = request.getHeader("X-Real-IP")

6）如果该值为空或数组长度为0或等于"unknown"，那么：

ip = request.getRemoteAddr ()

先说说这些请求头的意思

X-Forwarded-For

这是一个 Squid 开发的字段，只有在通过了 HTTP 代理或者负载均衡服务器时才会添加该项。格式为X-Forwarded-For: client1, proxy1, proxy2，一般情况下，第一个ip为客户端真实ip，后面的为经过的代理服务器ip。现在大部分的代理都会加上这个请求头

Proxy-Client-IP/WL- Proxy-Client-IP

这个一般是经过apache http服务器的请求才会有，用apache http做代理时一般会加上Proxy-Client-IP请求头，而WL- Proxy-Client-IP是他的weblogic插件加上的头

HTTP_CLIENT_IP

有些代理服务器会加上此请求头

X-Real-IP

nginx代理一般会加上此请求头。

有几点要注意

1、这些请求头都不是http协议里的标准请求头，也就是说这个是各个代理服务器自己规定的表示客户端地址的请求头。如果哪天有一个代理服务器软件用oooo-client-ip这个请求头代表客户端请求，那上面的代码就不行了。

2、这些请求头不是代理服务器一定会带上的，网络上的很多匿名代理就没有这些请求头，所以获取到的客户端ip不一定是真实的客户端ip。代理服务器一般都可以自定义请求头设置。

3、即使请求经过的代理都会按自己的规范附上代理请求头，上面的代码也不能确保获得的一定是客户端ip。不同的网络架构，判断请求头的顺序是不一样的。

4、最重要的一点，请求头都是可以伪造的。如果一些对客户端校验较严格的应用（比如投票）要获取客户端ip，应该直接使用ip = request.getRemoteAddr ()，虽然获取到的可能是代理的ip而不是客户端的ip，但这个获取到的ip基本上是不可能伪造的，也就杜绝了刷票的可能。(有分析说arp欺骗+syn有可能伪造此ip，如果真的可以，这是所有基于TCP协议都存在的漏洞)，这个ip是tcp连接里的ip。

在JSP里，获取客户端的IP地址的方法是：request.getRemoteAddr() ，这种方法在大部分情况下都是有效的。但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了。

如果使用了反向代理软件，将http://192.168.1.110:2046/ 的URL反向代理为http://www.xxx.com/ 的URL时，用request.getRemoteAddr() 方法获取的IP地址是：127.0.0.1　或　192.168.1.110 ，而并不是客户端的真实ＩＰ。

经过代理以后，由于在客户端和服务之间增加了中间层，因此服务器无法直接拿到客户端的IP，服务器端应用也无法直接通过转发请求的地址返回给客户端。但是在转发请求的HTTP头信息中，增加了X－FORWARDED－FOR信息。用以跟踪原有的客户端IP地址和原来客户端请求的服务器地址。当我们访问http://www.xxx.com/index.jsp/ 时，其实并不是我们浏览器真正访问到了服务器上的index.jsp文件，而是先由代理服务器去访问http://192.168.1.110:2046/index.jsp ，代理服务器再将访问到的结果返回给我们的浏览器，因为是代理服务器去访问index.jsp的，所以index.jsp中通过request.getRemoteAddr() 的方法获取的IP实际上是代理服务器的地址，并不是客户端的IP地址。于是可得出获得客户端真实IP地址的方法一：

Java代码  

1. public String getRemortIP(HttpServletRequest request) {  
2.   if (request.getHeader("x-forwarded-for") == null) {  
3.    return request.getRemoteAddr();  
4.   }  
5.   return request.getHeader("x-forwarded-for");  
6.  }  

 

可是当我访问http://www.xxx.com/index.jsp/ 时，返回的IP地址始终是unknown，也并不是如上所示的127.0.0.1　或　192.168.1.110 了，而我访问http://192.168.1.110:2046/index.jsp 时，则能返回客户端的真实IP地址，写了个方法去验证。原因出在了Squid上。squid.conf 的配制文件　forwarded_for 项默认是为on，如果 forwarded_for 设成了 off 　则：X-Forwarded-For: unknown

于是可得出获得客户端真实IP地址的方法二：

Java代码  

1. public  String getIpAddr(HttpServletRequest request)  {  
2.       String ip  =  request.getHeader( " x-forwarded-for " );  
3.        if (ip  ==   null   ||  ip.length()  ==   0   ||   " unknown " .equalsIgnoreCase(ip))  {  
4.           ip  =  request.getHeader( " Proxy-Client-IP " );  
5.       }   
6.        if (ip  ==   null   ||  ip.length()  ==   0   ||   " unknown " .equalsIgnoreCase(ip))  {  
7.           ip  =  request.getHeader( " WL-Proxy-Client-IP " );  
8.       }   
9.        if (ip  ==   null   ||  ip.length()  ==   0   ||   " unknown " .equalsIgnoreCase(ip))  {  
10.          ip  =  request.getRemoteAddr();  
11.      }   
12.       return  ip;  
13.  }  

 可是，如果通过了多级反向代理的话，X-Forwarded-For的值并不止一个，而是一串Ｉｐ值，究竟哪个才是真正的用户端的真实IP呢？

　　答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。

　　如：
X-Forwarded-For：192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100
用户真实IP为： 192.168.1.110

代码如下

public static String getRemortIP(HttpServletRequest request) {String ipAddress = null;   //ipAddress = request.getRemoteAddr();   ipAddress = request.getHeader("x-forwarded-for");   if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {   ipAddress = request.getHeader("Proxy-Client-IP");   }   if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {   ipAddress = request.getHeader("WL-Proxy-Client-IP");   }   if(ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress)) {   ipAddress = request.getRemoteAddr();<span style="color:#ff0000;">   //如下代码是获取本地内网ip地址</span>

             if(ipAddress.equals("127.0.0.1")){   //根据网卡取本机配置的IP   InetAddress inet=null;   try {   inet = InetAddress.getLocalHost();   } catch (UnknownHostException e) {   e.printStackTrace();ipAddress="无法获取IP地址";}   ipAddress= inet.getHostAddress();   }   }   </span>//对于通过多个代理的情况，第一个IP为客户端真实IP,多个IP按照','分割   if(ipAddress!=null && ipAddress.length()>15){ //"***.***.***.***".length() = 15   if(ipAddress.indexOf(",")>0){   ipAddress = ipAddress.substring(0,ipAddress.indexOf(","));   }   }   return ipAddress;     }

ipAddress = request.getRemoteAddr();如果有代理服务器，此代码获取的是代理服务器的ip地址