Извлечение IP-адреса клиента в Spring MVC Controller

Быстрый ответ

Чтобы получить IP-адрес клиента в контроллере Spring MVC, используйте метод getRemoteAddr() класса HttpServletRequest:

@GetMapping("/ip")
public String getClientIP(HttpServletRequest request) {
    return request.getRemoteAddr();
}

Если ваше приложение работает через прокси, получите IP клиента из заголовка X-Forwarded-For:

String clientIP = Optional.ofNullable(request.getHeader("X-Forwarded-For"))
                          .orElseGet(request::getRemoteAddr);

Для точного определения IP при использовании прокси-сервера или балансировщика нагрузки сервер должен передавать оригинальные заголовки.

Разбор IP-адреса: Когда используется прокси

Если ваше Spring Boot приложение работает за прокси-сервером или балансировщиком нагрузки, метод getRemoteAddr() вернёт IP последнего устройства, которое отправило запрос — это будет прокси сервер. Чтобы получить реальный IP адрес клиента, используйте следующую прогаммную конструкцию:

@GetMapping("/real-ip")
public String getRealIP(HttpServletRequest request) {
    String forwardedHeader = request.getHeader("X-FORWARDED-FOR");
    if (forwardedHeader != null) {
        return forwardedHeader.split(",")[0];
    }
    return request.getRemoteAddr();
}

Меры безопасности: Проверка IP-адреса

Всегда проводите проверку и фильтрацию IP-адресов для предотвращения их подделки:

private String validateIP(String ip) {
    // Примените вашу логику валидации IP, например, через регулярные выражения.
    return ip; 
}

Супер инструменты: Когда к HttpServletRequest доступ не получить

Если вы не можете напрямую получить доступ к HttpServletRequest, используйте RequestContextHolder от Spring:

HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.currentRequestAttributes())
                                 .getRequest();
String clientIP = request.getRemoteAddr();

Если вы используете Nginx или другой reverse proxy, берите значение из заголовка X-Real-IP:

String realIp = request.getHeader("X-Real-IP");
if (realIp != null) {
    return realIp;
}

Визуализация

Процесс определения IP-адреса в контроллере Spring MVC можно сравнить с процедурой регистрации в отеле, где гости предъявляют документ, подтверждающий их личность:

HTTPRequest 💼: "Добрый день, у меня бронь на комнату."
Контроллер Spring MVC 🏨: "Могу я увидеть ваш документ?

Контроллер получает IP-адрес:

@RequestMapping("/book-room")
public String bookHotelRoom(HttpServletRequest request) {
    String guestID = request.getRemoteAddr();
    // Обработка бронирования
    return "Приятного пребывания, ваш номер – 42!";
}

Контроллер записывает информацию о госте (IP) для более качественного обслуживания (ответа).

Nginx и безопасные заголовки: Обзор

Если вы используете Nginx в качестве reverse proxy, настройте политику безопасности для передачи заголовков X-Real-IP и X-Forwarded-For:

location / {
    proxy_set_header        Host $host;
    proxy_set_header        X-Real-IP $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass              http://localhost:8080;
}

Для обеспечения безопасности от инъекций используйте политику безопасности содержимого с директивой default-src 'self'.

Полезные материалы

1. Обслуживание веб-контента с помощью Spring MVC — введение в работу с Spring MVC.
2. Spring RequestMapping – как определить IP-адрес клиента — гайд по извлечению IP-адреса клиента.
3. HttpServletRequest (Java EE 6) — исчерпывающая документация по HttpServletRequest.
4. Руководство по аннотации @Controller в Spring MVC — подробности о использовании аннотации @Controller в Spring.
5. Spring Security – контекст безопасности и аутентификация — управление IP-адресами в Spring Security.
6. DigitalOcean – @RequestMapping, @RequestParam, @PathVariable в Spring — руководство по обработке запросов в Spring.
7. Продвинутые техники контроллера в Spring MVC — углубление в техники работы с контроллером.