MENU

cdn后面(nginx反代)获取客户端真实ip

最近开了WTFGame的服务器,做了一个wtf的简易会员系统,上线运行时发现sql记录的用户ip全是cdn的ip,经过一番研究找到了一个获取真实ip的方法.

前言

开了wtf服务器后,时间一长,玩家一多,发现了2次外挂程序,通过抓包发现,所有用户的坐标和动作都是通过base64加密后传到服务端,而服务端没有校验数据的合法性,于是无奈加了一个token验证,我制作的面板动态渲染游戏页面,将token传给服务端,服务端通过我的api校验用户身份,其实这个本应该是服务端通过sql校验,但考虑到小伙伴不太会java,于是便让他走了我的api校验.

thinkphp5.0的获取ip

从tp5的手册里没有发现tp5获取客户端ip的功能,但是查找Request类时发现了这个功能,于是获取ip就直接用了tp5自带的\think\Request::instance()->ip()上线肯定要考虑到玩家的资源加载,于是套了cdn,之后问题来了,偶然在sql看了下用户的注册和登录ip全是cdn的ip,翻了下tp5的Request类

/**
     * 获取客户端IP地址
     * @param integer   $type 返回类型 0 返回IP地址 1 返回IPV4地址数字
     * @param boolean   $adv 是否进行高级模式获取(有可能被伪装)
     * @return mixed
     */
    public function ip($type = 0, $adv = false)
    {
        $type      = $type ? 1 : 0;
        static $ip = null;
        if (null !== $ip) {
            return $ip[$type];
        }

        if ($adv) {
            if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
                $arr = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
                $pos = array_search('unknown', $arr);
                if (false !== $pos) {
                    unset($arr[$pos]);
                }
                $ip = trim(current($arr));
            } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
                $ip = $_SERVER['HTTP_CLIENT_IP'];
            } elseif (isset($_SERVER['REMOTE_ADDR'])) {
                $ip = $_SERVER['REMOTE_ADDR'];
            }
        } elseif (isset($_SERVER['REMOTE_ADDR'])) {
            $ip = $_SERVER['REMOTE_ADDR'];
        }
        // IP地址合法验证
        $long = sprintf("%u", ip2long($ip));
        $ip   = $long ? [$ip, $long] : ['0.0.0.0', 0];
        return $ip[$type];
    }

发现tp的adv模式是默认关闭的,而且不止为何使用了adv模式也不能正常获取到客户端ip,在网上找了几个获取真实客户端ip的方法,均无果,于是便做了个测试,在一个方法中写了var_dump($_SERVER);发现其中有一个HTTP_X_REAL_IP会一直返回客户端的值,经过网上一番查询发HTTP_X_REAL_IP似乎是反代时记录客户端ip的值,只要反代加入了proxy_set_header X-Real-IP $remote_addr;php就可以读这个值来获取客户端真正的ip,于是便照葫芦画瓢,把tp5的获取ip的方法稍微改了下.

更改后的代码

/**
 * 获取客户端IP地址
 * @param integer   $type 返回类型 0 返回IP地址 1 返回IPV4地址数字
 * @param boolean   $adv 是否进行高级模式获取(有可能被伪装)
 * @return mixed
 */
public function ip($type = 0, $adv = true)
{
    $type      = $type ? 1 : 0;
    static $ip = null;
    if (null !== $ip) {
        return $ip[$type];
    }

    if ($adv) {
        
        if (isset($_SERVER['HTTP_X_REAL_IP'])) { //nginx反代时
            $ip = $_SERVER['HTTP_X_REAL_IP'];
        } elseif (isset($_SERVER['HTTP_CDN_REAL_IP'])) { //云端cdn反代时
            $ip = $_SERVER['HTTP_CDN_REAL_IP'];
        } elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
            $arr = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
            $pos = array_search('unknown', $arr);
            if (false !== $pos) {
                unset($arr[$pos]);
            }
            $ip = trim(current($arr));
        } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
            $ip = $_SERVER['HTTP_CLIENT_IP'];
        } elseif (isset($_SERVER['REMOTE_ADDR'])) {
            $ip = $_SERVER['REMOTE_ADDR'];
        }
    } elseif (isset($_SERVER['REMOTE_ADDR'])) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    // IP地址合法验证
    $long = sprintf("%u", ip2long($ip));
    $ip   = $long ? [$ip, $long] : ['0.0.0.0', 0];
    return $ip[$type];
}

首先要注意使用我修改过的方法并且开启adv的话如果没有获取到HTTP_X_REAL_IP或者HTTP_CDN_REAL_IP的话,会取HTTP_X_FORWARDED_FOR的值作为客户端ip,这个值是可以伪装的!
之后网上找了几个cdn服务商,他们几乎都有特定的字段给用户获取真实客户端ip使用,只要修改正确就可以.

标签: 无