3.2　获取请求的IP地址

Nginx会将客户端的IP地址信息存放在$remote_addr变量中，但在生产环境下往往会有各种代理，让获取真实的IP地址变得困难重重。

3.2.1　获取用户的真实IP地址

大部分互联网公司的反向代理都会用到图3-2所示的CDN加速代理流程图。用户的请求并不直接和Nginx打交道，而是由CDN（Content Delivery Network，即内容分发网络）传递给Nginx。所以在默认情况下，Nginx 看到的客户端IP地址是经过CDN 处理后的IP地址，这对日志的记录和分析、后端服务的业务逻辑都可能产生不良的影响。如果需要获取用户的真实IP地址，就要用到realip模块。

使用realip模块需要执行--with-http_realip_module命令，并在Nginx的http块中配置如下代码：

·　set_real_ip_from：设置可信任的IP地址，即白名单，之后会使用real_ip_header从这些IP地址中获取请求头信息。

·　real_ip_header：从指定的请求头中获取客户端的IP地址，IP地址是通过请求头传递给Nginx的，请求头可能包括多个IP地址（以逗号分隔），此时只会获取最左边的IP地址并赋值给$remote_addr（客户端地址），此请求头一般会用到X-Forwarded-For。

·　real_ip_recursive：如果设置为on，则表示启用递归搜索，realip_module在获取客户端地址时，会在real_ip_header指定的请求头信息中逐个匹配IP地址，最后一个不在白名单中的IP地址会被当作客户端地址。默认为off，表示禁用递归搜索，此时，只要匹配到白名单中的IP地址，就会把它作为客户端地址。

由此，可以获取到用户的真实IP地址，如果希望获取CDN的节点IP地址（有助于排查和CDN有关的问题），可以使用$realip_remote_addr（此变量在2.5.2小节中有介绍）。

3.2.2　防止IP地址伪造

X-Forwarded-For请求头已经是业界的通用请求头，有些恶意攻击会伪造这个请求头进行访问，通过混淆服务器的判断来掩藏攻击者的真实IP地址。但如果在Nginx之前还有一个CDN的话，可以使用如下方案解决这个问题。

·　和CDN厂商确定约束规范，使用一个新的秘密的请求头，如X_Cdn_Ip。

·　在CDN代理客户端请求时，要求CDN传递用户的IP地址，并且在建立连接的过程中，通过CDN清除伪造的请求头，避免透传到后端。图3-3是CDN传递用户IP地址的流程图。

注意： 如果没有使用CDN，客户端的请求会直接和Nginx打交道。Nginx可以使用自定义的请求头传递用户的IP地址，如proxy_set_header X-Real-IP $remote_addr。

3.2.3　后端服务器对IP地址的需求

有时后端服务器也要用到用户的客户端IP地址，在这种情况下，研发团队需要在IP地址的获取上制定统一的规范，从规定的请求头信息中获取客户端IP地址。请求头中的IP地址可能有多个（经过了多次代理），它们以逗号分隔，其中第一个IP地址就是客户端IP地址。 UCNZZnKYJStqublnOFmbklGOZpCbaIt6iPLMeBdUvg1KTEAaDpB4DdTxCwhalHdk