cdn后面(nginx反代)获取客户端真实ip
最近开了WTFGame的服务器,做了一个wtf的简易会员系统,上线运行时发现sql记录的用户ip全是cdn的ip,经过一番研究找到了一个获取真实ip的方法.
前言
开了wtf服务器后,时间一长,玩家一多,发现了2次外挂程序,通过抓包发现,所有用户的坐标和动作都是通过base64加密后传到服务端,而服务端没有校验数据的合法性,于是无奈加了一个token验证,我制作的面板动态渲染游戏页面,将token传给服务端,服务端通过我的api校验用户身份,其实这个本应该是服务端通过sql校验,但考虑到小伙伴不太会java,于是便让他走了我的api校验.
thinkphp5.0的获取ip
从tp5的手册里没有发现tp5获取客户端ip的功能,但是查找Request类时发现了这个功能,于是获取ip就直接用了tp5自带的\think\Request::instance()->ip()
上线肯定要考虑到玩家的资源加载,于是套了cdn,之后问题来了,偶然在sql看了下用户的注册和登录ip全是cdn的ip,翻了下tp5的Request类
/**
* 获取客户端IP地址
* @param integer $type 返回类型 0 返回IP地址 1 返回IPV4地址数字
* @param boolean $adv 是否进行高级模式获取(有可能被伪装)
* @return mixed
*/
public function ip($type = 0, $adv = false)
{
$type = $type ? 1 : 0;
static $ip = null;
if (null !== $ip) {
return $ip[$type];
}
if ($adv) {
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$arr = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$pos = array_search('unknown', $arr);
if (false !== $pos) {
unset($arr[$pos]);
}
$ip = trim(current($arr));
} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (isset($_SERVER['REMOTE_ADDR'])) {
$ip = $_SERVER['REMOTE_ADDR'];
}
} elseif (isset($_SERVER['REMOTE_ADDR'])) {
$ip = $_SERVER['REMOTE_ADDR'];
}
// IP地址合法验证
$long = sprintf("%u", ip2long($ip));
$ip = $long ? [$ip, $long] : ['0.0.0.0', 0];
return $ip[$type];
}
发现tp的adv模式是默认关闭的,而且不止为何使用了adv模式也不能正常获取到客户端ip,在网上找了几个获取真实客户端ip的方法,均无果,于是便做了个测试,在一个方法中写了var_dump($_SERVER);
发现其中有一个HTTP_X_REAL_IP会一直返回客户端的值,经过网上一番查询发HTTP_X_REAL_IP似乎是反代时记录客户端ip的值,只要反代加入了proxy_set_header X-Real-IP $remote_addr;
php就可以读这个值来获取客户端真正的ip,于是便照葫芦画瓢,把tp5的获取ip的方法稍微改了下.
更改后的代码
/**
* 获取客户端IP地址
* @param integer $type 返回类型 0 返回IP地址 1 返回IPV4地址数字
* @param boolean $adv 是否进行高级模式获取(有可能被伪装)
* @return mixed
*/
public function ip($type = 0, $adv = true)
{
$type = $type ? 1 : 0;
static $ip = null;
if (null !== $ip) {
return $ip[$type];
}
if ($adv) {
if (isset($_SERVER['HTTP_X_REAL_IP'])) { //nginx反代时
$ip = $_SERVER['HTTP_X_REAL_IP'];
} elseif (isset($_SERVER['HTTP_CDN_REAL_IP'])) { //云端cdn反代时
$ip = $_SERVER['HTTP_CDN_REAL_IP'];
} elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$arr = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$pos = array_search('unknown', $arr);
if (false !== $pos) {
unset($arr[$pos]);
}
$ip = trim(current($arr));
} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (isset($_SERVER['REMOTE_ADDR'])) {
$ip = $_SERVER['REMOTE_ADDR'];
}
} elseif (isset($_SERVER['REMOTE_ADDR'])) {
$ip = $_SERVER['REMOTE_ADDR'];
}
// IP地址合法验证
$long = sprintf("%u", ip2long($ip));
$ip = $long ? [$ip, $long] : ['0.0.0.0', 0];
return $ip[$type];
}
首先要注意使用我修改过的方法并且开启adv的话如果没有获取到HTTP_X_REAL_IP或者HTTP_CDN_REAL_IP的话,会取HTTP_X_FORWARDED_FOR的值作为客户端ip,这个值是可以伪装的!
之后网上找了几个cdn服务商,他们几乎都有特定的字段给用户获取真实客户端ip使用,只要修改正确就可以.