nginx 获取访客真实ip 配置

要获取访客的真实IP地址，需要在Nginx的配置文件中进行配置。具体配置如下：

1. 在http模块中添加如下配置：

http {
    # ...
    real_ip_header X-Forwarded-For;
    set_real_ip_from 0.0.0.0/0;
    # ...
}

其中，`real_ip_header`指定从哪个请求头中获取真实IP地址，一般情况下为`X-Forwarded-For`；`set_real_ip_from`指定允许哪些IP地址向Nginx服务器转发请求。

2. 在server模块中添加如下配置：

server {
    listen       80;
    server_name  example.com;

    # ...
    location / {
        proxy_pass         http://backend;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        # ...
    }
    # ...
}

其中，`proxy_set_header`指定向后端服务器转发请求时设置的请求头，`X-Real-IP`指定设置真实IP地址的请求头。

相关问题

nginx反向代理域名

### Nginx配置指定域名的反向代理

为了使Nginx能够作为反向代理服务器处理特定域名的请求，需编辑`nginx.conf`文件或创建一个新的配置文件于`sites-available`目录下并链接至`sites-enabled`。对于名为`www.yonmei.xyz`的域名，在配置文件中定义server块，并设置监听80端口以便HTTP协议通信[^2]。

#### 定义Server Block

在server上下文中设定listen指令为80表示监听标准HTTP端口；server_name则用于指明此配置适用于哪个主机名或域名：

server {
    listen       80;
    server_name  www.yonmei.xyz; # 替换成自己的域名
}

#### 设置Location与Proxy Pass

location部分决定了哪些路径下的资源会被视为需要转发给后端应用服务器的内容。proxy_pass命令后面跟的是实际提供服务的应用程序所在的地址和端口号。如果希望整个网站都由同一台机器上的另一个web应用程序响应，则可如下所示进行配置：

location / {
    proxy_pass      http://localhost:3000/; # 假设本地运行着node.js app位于3000端口上
}

#### 处理Host头和其他头部信息

当Nginx将客户端请求转交给内部网络中的其他Web服务器时，默认情况下不会传递原始请求的一些重要头部字段，比如Host头。这可能会导致一些依赖这些数据的应用出现问题。因此应该显式地告诉Nginx保留某些重要的HTTP头部信息，特别是Host头，这对于多租户架构尤为重要：

location / {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;

    proxy_pass      http://localhost:3000/;
}

以上配置不仅设置了必要的header传输，还增加了X-Real-IP、X-Forwarded-For等headers来帮助下游服务器获取真实的访客IP地址以及其他有用的信息[^4]。

完成上述修改后保存文件，并重启Nginx让更改生效。此时访问http://www.yonmei.xyz将会触发Nginx把请求转发到目标服务器上去执行相应操作。

{"returnCode":-4004,"returnMessage":"User IP is illegal","flag":"slb"}

### 错误码 `-4004` 的原因

当遇到 `User IP is illegal` 错误码 `-4004` 时，通常意味着客户端请求中的IP地址不符合服务端预期的要求。这种错误可能由多种因素引起：

- 客户端发送的请求中携带了非法或不可信的IP地址。
- 请求经过代理服务器转发后，原始IP被篡改或丢失。
- 防火墙或其他网络安全设备拦截并修改了请求头信息。

对于此类问题，在应用层面上可以采取一些措施来排查和解决问题[^1]。

### 解决方案建议

为了有效处理该类错误，可以从以下几个方面入手：

#### 检查网络配置
确认应用程序部署环境下的网络设置是否正确无误，特别是涉及到负载均衡器（SLB）、反向代理等组件时，需确保这些中间件能够正确传递真实的客户端IP给后端服务。

#### 修改Nginx配置文件
如果使用的是基于Nginx作为前端入口，则可以在其配置文件中加入如下指令以获取真实访客IP：

set_real_ip_from 0.0.0.0/0;
real_ip_header X-Forwarded-For;

这将允许Nginx信任来自任何源的真实IP，并通过HTTP头部字段X-Forwarded-For读取实际访问者的IP地址[^2]。

#### 调整API接口逻辑
针对特定业务场景调整API对接收参数验证机制，比如放宽对某些特殊情况下传入空白字符串或者其他默认值的支持度；同时增加日志记录功能以便于后续分析异常情况发生的具体上下文环境。

#### 设置白名单策略
考虑实施更严格的访问控制政策——仅限已知可信来源发起的有效连接才予以放行进入内部系统资源池内操作执行流程之中。可以通过维护一份动态更新的安全组成员列表实现这一目标[^3]。