导读:本期聚焦于小伙伴创作的《怎么在Java中获取客户端的IP地址_HttpServletRequest解析X-Forwarded-For》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《怎么在Java中获取客户端的IP地址_HttpServletRequest解析X-Forwarded-For》有用,将其分享出去将是对创作者最好的鼓励。

在Java Web应用开发中,获取客户端的真实IP地址是很多业务场景的基础需求,比如访问频率限制、地域识别、安全审计等。当请求经过Nginx、F5等反向代理或负载均衡设备转发时,直接使用常规方法获取到的往往是代理服务器的IP,此时就需要解析请求头中的X-Forwarded-For字段来拿到客户端的真实IP。

怎么在Java中获取客户端的IP地址_HttpServletRequest解析X-Forwarded-For

基础的IP获取方式

在不经过任何代理的情况下,我们可以通过HttpServletRequest的getRemoteAddr()方法直接获取客户端IP,这个方法返回的是发送请求的客户端或者最后一个代理的IP地址。

import javax.servlet.http.HttpServletRequest;

public class IpUtil {
    public static String getBasicIp(HttpServletRequest request) {
        // 直接获取请求的远程地址
        return request.getRemoteAddr();
    }
}

但是当请求经过代理转发后,getRemoteAddr()返回的就是代理服务器的IP,无法得到真实客户端的IP,这时候就需要借助请求头中的代理相关字段。

X-Forwarded-For的格式说明

X-Forwarded-For是一个HTTP扩展头,用于标识通过代理服务器连接到Web服务器的客户端的原始IP地址。它的格式是多个IP地址用逗号加空格分隔,第一个IP就是客户端的真实IP,后面的IP依次是经过的各个代理服务器的IP。

例如一个请求经过了客户端、代理1、代理2、代理3最终到达服务端,那么X-Forwarded-For的值就是:客户端IP, 代理1IP, 代理2IP, 代理3IP。如果请求没有经过代理,那么请求头中可能不会包含这个字段。

解析X-Forwarded-For获取真实IP

我们需要先判断请求头中是否存在X-Forwarded-For字段,如果存在就取其第一个逗号前的IP作为客户端真实IP,如果不存在再尝试获取其他代理相关的请求头,最后才使用getRemoteAddr()作为兜底方案。

常见的代理相关请求头还有Proxy-Client-IP、WL-Proxy-Client-IP等,部分代理服务器会使用这些字段传递客户端IP,所以解析时需要做兼容处理。

完整工具类实现

import javax.servlet.http.HttpServletRequest;
import java.net.InetAddress;
import java.net.UnknownHostException;

public class IpUtil {
    private static final String UNKNOWN = "unknown";
    private static final String LOCALHOST_IP = "127.0.0.1";
    private static final String LOCALHOST_IPV6 = "0:0:0:0:0:0:0:1";

    /**
     * 获取客户端真实IP地址
     * @param request HttpServletRequest对象
     * @return 客户端真实IP
     */
    public static String getClientIp(HttpServletRequest request) {
        String ip = request.getHeader("X-Forwarded-For");
        if (!isValidIp(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (!isValidIp(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (!isValidIp(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (!isValidIp(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        // 以上都没有获取到,使用getRemoteAddr
        if (!isValidIp(ip)) {
            ip = request.getRemoteAddr();
            // 如果是本地IPv6地址,转换为本地IPv4地址
            if (LOCALHOST_IPV6.equals(ip)) {
                ip = LOCALHOST_IP;
            }
        }

        // 如果X-Forwarded-For包含多个IP,取第一个非unknown的IP
        if (ip != null && ip.contains(",")) {
            String[] ipArray = ip.split(",");
            for (String subIp : ipArray) {
                if (isValidIp(subIp)) {
                    ip = subIp;
                    break;
                }
            }
        }
        return ip;
    }

    /**
     * 校验IP是否有效
     * @param ip IP字符串
     * @return 是否有效
     */
    private static boolean isValidIp(String ip) {
        if (ip == null || ip.length() == 0 || UNKNOWN.equalsIgnoreCase(ip)) {
            return false;
        }
        return true;
    }

    /**
     * 判断是否为内网IP
     * @param ip IP字符串
     * @return 是否为内网IP
     */
    public static boolean isInternalIp(String ip) {
        if (ip == null || ip.equals(LOCALHOST_IP) || ip.equals(LOCALHOST_IPV6)) {
            return true;
        }
        // 简单判断内网IP段:10.x.x.x、172.16.x.x-172.31.x.x、192.168.x.x
        if (ip.startsWith("10.") || ip.startsWith("192.168.")) {
            return true;
        }
        if (ip.startsWith("172.")) {
            String[] parts = ip.split("\.");
            if (parts.length >= 2) {
                try {
                    int secondPart = Integer.parseInt(parts[1]);
                    if (secondPart >= 16 && secondPart <= 31) {
                        return true;
                    }
                } catch (NumberFormatException e) {
                    return false;
                }
            }
        }
        return false;
    }
}

使用注意事项

首先,X-Forwarded-For头是可以被客户端伪造的,如果业务中IP地址用于安全相关的判断,比如登录地校验、访问权限控制,不能单纯依赖该字段,需要结合其他验证手段。

其次,需要确保反向代理服务器正确配置了X-Forwarded-For头的传递,比如Nginx需要在配置中添加proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;,否则请求头中可能不会携带该字段。

另外,如果应用直接部署在公网,没有经过任何代理,那么X-Forwarded-For头可能不存在,此时直接获取getRemoteAddr()的结果即可,工具类中的兜底逻辑已经覆盖了这种场景。

测试验证

可以在Controller中调用该工具类,打印获取到的IP进行验证:

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.HttpServletRequest;

@RestController
public class TestController {
    @GetMapping("/test-ip")
    public String testIp(HttpServletRequest request) {
        String clientIp = IpUtil.getClientIp(request);
        return "客户端IP:" + clientIp;
    }
}

部署后通过不同的访问方式(直接访问、经过代理访问)测试,即可验证IP获取逻辑是否符合预期。

JavaHttpServletRequestX-Forwarded-ForIP地址获取修改时间:2026-06-15 17:06:16

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。