Express.js：如何获取远程客户端地址

我不完全了解如何获取远程用户IP地址。

假设我有一个简单的请求路由，例如：

app.get(/, function (req, res){
   var forwardedIpsStr = req.header('x-forwarded-for');
   var IP = '';

   if (forwardedIpsStr) {
      IP = forwardedIps = forwardedIpsStr.split(',')[0];  
   }
});

以上方法是正确的以获得真实用户IP地址还是有更好的方法？代理呢？

如果您是在像NGiNX这样的代理后面运行或只有什么，则应该检查“ x-forwarded-for”：

var ip = req.headers['x-forwarded-for'] || req.connection.remoteAddress;

如果代理不是“您的”，那么我将不信任“ x-forward-for”标头，因为它可能是被欺骗的。

虽然从@alessioalex作品的回答，有作为另一种方式说明快递的背后代理的部分快递-指南。

1. 添加app.set('trust proxy', true)到您的明确初始化代码。
2. 当您想获取远程客户端的IP时，请使用req.ip或req.ips以通常的方式使用（就像没有反向代理一样）

可选阅读：

• 使用req.ip或req.ips。req.connection.remoteAddress不适用于此解决方案。
• 'trust proxy'如果您需要比信任x-forwarded-for标头中传递的所有内容更复杂的东西，则可以使用的更多选项（例如，当您的代理不会从不受信任的来源中删除预先存在的x-forwarded-for标头时）。有关更多详细信息，请参见链接的指南。
• 如果您的代理服务器未填充x-forwarded-for标头，则有两种可能性。
  1. 代理服务器不会中继有关请求原始位置的信息。在这种情况下，将无法找出请求的原始来源。您首先需要修改代理服务器的配置。
     • 例如，如果您使用nginx作为反向代理，则可能需要添加proxy_set_header X-Forwarded-For $remote_addr;到配置中。
  2. 代理服务器以专有方式（例如，自定义http标头）中继有关请求最初来自何处的信息。在这种情况下，此答案将无效。可能会有一种自定义的方式来获取该信息，但是您需要首先了解该机制。

在nginx.conf文件中：
proxy_set_header X-Real-IP $remote_addr;

在node.js服务器文件中：
var ip = req.headers['x-real-ip'] || req.connection.remoteAddress;

请注意，表达小写标头

特别是对于节点，事件连接下的http服务器组件的文档说：

[触发]当建立新的TCP流时。[the]套接字是net.Socket类型的对象。通常，用户将不希望访问此事件。特别是，由于协议解析器如何附加到套接字，套接字将不会发出可读事件。也可以通过访问套接字request.connection。

因此，这意味着request.connection是一个套接字，根据文档，确实存在一个socket.remoteAddress属性，根据该文档，它是：

远程IP地址的字符串表示形式。例如，“ 74.125.127.100”或“ 2001：4860：a005 :: 68”。

在express下，请求对象也是Node http请求对象的实例，因此此方法仍然可以使用。

但是，在Express.js下，请求已具有两个属性：req.ip和req.ips

要求

返回远程地址，或启用“信任代理”时-上游地址。

要求

当“信任代理”是true，解析“X -转发，” IP地址列表，并返回一个数组，否则将返回一个空数组。例如，如果值是“ client，proxy1，proxy2”，您将收到数组[“ client”，“ proxy1”，“ proxy2”]，其中“ proxy2”是最下游的。

值得一提的是，根据我的理解，Express req.ip是比更好的方法req.connection.remoteAddress，因为它req.ip包含实际的客户端ip（前提是在express中启用了受信任的代理），而另一个可能包含代理的IP地址（如果有）之一）。

这就是为什么当前接受的答案建议的原因：

var ip = req.headers['x-forwarded-for'] || req.connection.remoteAddress;

该req.headers['x-forwarded-for']会是相当的快递req.ip。

1. 加 app.set('trust proxy', true)
2. 使用req.ip或req.ips按常规方式

这只是此答案的其他信息。

如果使用nginx，则将添加proxy_set_header X-Real-IP $remote_addr;到站点的位置块。/etc/nginx/sites-available/www.example.com例如。这是一个示例服务器块。

server {
    listen 80;
    listen [::]:80;

    server_name example.com www.example.com;

    location / {
        proxy_set_header  X-Real-IP  $remote_addr;
        proxy_pass http://127.0.1.1:3080;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

重新启动后nginx，您将可以通过以下方式访问您的node/ express应用程序路由中的ip：req.headers['x-real-ip'] || req.connection.remoteAddress;

根据Express在代理之后，req.ip如果配置trust proxy正确，则考虑了反向代理。因此，它比req.connection.remoteAddress从网络层获得并且不了解代理更好。

我为此目的编写了一个程序包。您可以将其用作快速中间件。我的软件包在这里发布：https : //www.npmjs.com/package/express-ip

您可以使用安装模块

npm i express-ip

用法

const express = require('express');
const app = express();
const expressip = require('express-ip');
app.use(expressip().getIpInfoMiddleware);

app.get('/', function (req, res) {
    console.log(req.ipInfo);
});

我知道这个问题已经回答了，但是这就是我的工作方式。

let ip = req.connection.remoteAddress.split(`:`).pop();

如果您可以使用3rd-party库。您可以检查request-ip。

你可以用它

import requestIp from 'request-ip';

app.use(requestIp.mw())

app.use((req, res) => {
  const ip = req.clientIp;
});

源代码很长，所以我不会在这里复制，您可以在https://github.com/pbojinov/request-ip/blob/master/src/index.js中查看

基本上，

它在请求中查找特定的标头，如果不存在默认标头，则会回退到某些默认标头。

用户ip由以下顺序确定：

1. X-Client-IP
2. X-Forwarded-For （标头可能以“客户端IP，代理1 IP，代理2 IP”的格式返回多个IP地址，因此我们采用第一个。）
3. CF-Connecting-IP （Cloudflare）
4. Fastly-Client-Ip （将CDN和Firebase托管标头转换为云功能时，具有很高的速度）
5. True-Client-Ip （Akamai和Cloudflare）
6. X-Real-IP （Nginx代理/ FastCGI）
7. X-Cluster-Client-IP （Rackspace LB，Riverbed Stingray）
8. X-Forwarded，Forwarded-For和Forwarded（＃2变形例）
9. req.connection.remoteAddress
10. req.socket.remoteAddress
11. req.connection.socket.remoteAddress
12. req.info.remoteAddress

如果找不到IP地址，它将返回null。

披露：我与图书馆无关。

这对我来说比其他人更好。我的网站落后于CloudFlare，而且似乎需要cf-connecting-ip。

req.headers['cf-connecting-ip'] || req.headers['x-forwarded-for'] || req.connection.remoteAddress

没有测试Express是否在代理后面，因为它没有对此cf-connecting-ip头进行任何说明。

拥有可能的耀斑，nginx和x-real-ip支持

var user_ip;

    if(req.headers['cf-connecting-ip'] && req.headers['cf-connecting-ip'].split(', ').length) {
      let first = req.headers['cf-connecting-ip'].split(', ');
      user_ip = first[0];
    } else {
      let user_ip = req.headers['x-forwarded-for'] || req.headers['x-real-ip'] || req.connection.remoteAddress || req.socket.remoteAddress || req.connection.socket.remoteAddress;
    }

就我而言，类似于此解决方案，我最终使用了以下x-forward-for方法：

let ip = (req.headers['x-forwarded-for'] || '').split(',')[0];

x-forwarded-for标头将继续添加从起点到最终目标服务器的IP路由，因此，如果您需要检索起点客户端的IP，则这将是数组的第一项。

var ip = req.connection.remoteAddress;

ip = ip.split（'：'）[3];

标头对象具有您所需的一切，只需执行以下操作：

var ip = req.headers['x-forwarded-for'].split(',')[0];

将所有@kakopappa解决方案和morgan客户端IP地址的日志记录在一起：

morgan.token('client_ip', function getId(req) {
    return req.client_ip
});
const LOG_OUT = ':remote-addr - :remote-user [:date[clf]] ":method :url HTTP/:http-version" :status :res[content-length] ":referrer" ":user-agent" :client_ip'
self.app.use(morgan(LOG_OUT, {
    skip: function(req, res) { // custom logging: filter status codes
        return res.statusCode < self._options.logging.statusCode;
    }
}));

// could-flare, nginx and x-real-ip support
var getIpInfoMiddleware = function(req, res, next) {
    var client_ip;
    if (req.headers['cf-connecting-ip'] && req.headers['cf-connecting-ip'].split(', ').length) {
        var first = req.headers['cf-connecting-ip'].split(', ');
        client_ip = first[0];
    } else {
        client_ip = req.headers['x-forwarded-for'] || req.headers['x-real-ip'] || req.connection.remoteAddress || req.socket.remoteAddress || req.connection.socket.remoteAddress;
    }
    req.client_ip = client_ip;
    next();
};
self.app.use(getIpInfoMiddleware);