原文链接:
    https://www.cnblogs.com/xiaoxing/p/6565573.html

    发生的场景:服务器端接收客户端请求的时候,一般需要进行签名验证,客户端IP限定等情况,在进行客户端IP限定的时候,需要首先获取该真实的IP。一般分为两种情况:
    方式一、客户端未经过代理,直接访问服务器端(nginx,squid,haproxy);
    Java Web 获取客户端真实IP - 图1
    方式二、客户端通过多级代理,最终到达服务器端(nginx,squid,haproxy);
    Java Web 获取客户端真实IP - 图2

      客户端请求信息都包含在HttpServletRequest中,可以通过方法getRemoteAddr()获得该客户端IP。此时如果在使用方式一形式,可以直接获得该客户端真实IP。而如果是方式二中通过代理的形式,此时经过多级反向的代理,通过方法getRemoteAddr()得不到客户端真实IP,可以通过x-forwarded-for获得转发后请求信息。当客户端请求被转发,IP将会追加在其后并以逗号隔开,例如:10.47.103.13,4.2.2.2,10.96.112.230。
    请求中的参数:
    request.getHeader(“x-forwarded-for”) : 10.47.103.13,4.2.2.2,10.96.112.230
    request.getHeader(“X-Real-IP”) : 10.47.103.13
    request.getRemoteAddr():10.96.112.230

    客户端访问经过转发,IP将会追加在其后并以逗号隔开。最终准确的客户端信息为:

    • x-forwarded-for 不为空,则为逗号前第一个IP ;
    • X-Real-IP不为空,则为该IP ;

    • 否则为getRemoteAddr() ;


      代码示例:

      1. /** 
      2.    * 获取用户真实IP地址,不使用request.getRemoteAddr()的原因是有可能用户使用了代理软件方式避免真实IP地址, 
      3.    * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值 
      4.    *  
      5.    * @return ip
      6.    */
      7.   private String getIpAddr(HttpServletRequest request) {
      8.       String ip = request.getHeader("x-forwarded-for"); 
      9.       System.out.println("x-forwarded-for ip: " + ip);
      10.       if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) {  
      11.           // 多次反向代理后会有多个ip值,第一个ip才是真实ip
      12.           if( ip.indexOf(",")!=-1 ){
      13.               ip = ip.split(",")[0];
      14.           }
      15.       }  
      16.       if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
      17.           ip = request.getHeader("Proxy-Client-IP");  
      18.           System.out.println("Proxy-Client-IP ip: " + ip);
      19.       }  
      20.       if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
      21.           ip = request.getHeader("WL-Proxy-Client-IP");  
      22.           System.out.println("WL-Proxy-Client-IP ip: " + ip);
      23.       }  
      24.       if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
      25.           ip = request.getHeader("HTTP_CLIENT_IP");  
      26.           System.out.println("HTTP_CLIENT_IP ip: " + ip);
      27.       }  
      28.       if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
      29.           ip = request.getHeader("HTTP_X_FORWARDED_FOR");  
      30.           System.out.println("HTTP_X_FORWARDED_FOR ip: " + ip);
      31.       }  
      32.       if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
      33.           ip = request.getHeader("X-Real-IP");  
      34.           System.out.println("X-Real-IP ip: " + ip);
      35.       }  
      36.       if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
      37.           ip = request.getRemoteAddr();  
      38.           System.out.println("getRemoteAddr ip: " + ip);
      39.       } 
      40.       System.out.println("获取客户端ip: " + ip);
      41.       return ip;  
      42.   }


        此时,正常情况之下可以获取客户端真实的IP。需要注意的是对于服务器端采用负载的形式,需要配置保存x-forwarded-for。目前负载的形式有haproxy、nginx等形式。结构图如下:
      Java Web 获取客户端真实IP - 图3
      我接触的服务器端配置负载使用haproxy,相对于的配置如下: ```java frontend crmtest

      1.    bind :8081
      2.    mode http
      3.    option httplog
      4.    option forwardfor  // 配置HAProxy会把客户端的IP信息发送给服务器,在HTTP请求中添加"X-Forwarded-For"字段。
      5.    default_backend drm

    backend drm mode http option httplog balance roundrobin stick-table type ip size 200k expire 30m stick on src server jboss1 10.10.10.11:8081 server jboss2 10.10.10.12:8081 ``` haproxy配置参考:http://www.cnblogs.com/dkblog/archive/2012/03/13/2393321.html