Tomcat 利用 RemoteIpValve 对每个request请求的处理规则

最新推荐文章于 2024-04-10 17:45:55 发布
最新推荐文章于 2024-04-10 17:45:55 发布
阅读量7.4k 收藏 8
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 编程 开发工具:插件与框架 计算机网络 web server tomcat http/https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40562288/article/details/96131975
本文详细介绍了Tomcat中的RemoteIpValve组件的工作原理及其配置选项,包括remoteIpHeader、proxiesHeader、internalProxies及trustedProxies等属性的作用与处理流程。

文章目录

org.apache.catalina.valves.RemoteIpValve的属性

1、 remoteIpHeader

声明HEADER的key值,对应key的存储value值为从请求客户端开始经过的所有IP地址列表(IP间以英文逗号分隔)。

2、proxiesHeader

声明HEADER的key值,对应key的存储value值为从请求客户端开始经过的内部代理的IP地址列表(IP间以英文逗号分隔)。经过tomcat时,由tomcat根据remoteIpHeader、、对HEADER进行复制。不保证包括所有内部代理的IP列表

3、 internalProxies

声明了内部代理的IP地址匹配正则表达式。request.getHeader(remoteIpHeader)的IP列表中,只有不匹配了该正则式的IP才有可能写入request.getHeader(proxiesHeader)中

4、trustedProxies

声明了可信代理的IP地址匹配正则表达式。request.getHeader(remoteIpHeader)的IP列表中,如果非内部代理、但是可信代理的IP,则有可能写入request.getHeader(proxiesHeader)中(不匹配internalProxies,匹配trustedProxies)

tomcat利用RemoteIpValve对请求头内容的处理内容

可见org.apache.catalina.valves.RemoteIpValve#invoke

  • 1、获取request中的所需信息,调用 request.getRemoteAddr() 获取 request.getHeader(remoteIpHeader) 的值;

作为初始值,最后需要还原回 request 中;在回传给前端用户前,恢复对request的修改。

  • 2、对 remoteAddr 按“,” 切割字符串,得到 IP地址数值;
  • 3、对 IP地址数值进行遍历,总最后一个IP开始(String中位于最右的IP),对每个IP 依次(internalProxies、trustedProxies)进行正则表达式匹配:
    • 3.1、不匹配 internalProxies 的直接跳过,对数组中下一个IP进行匹配。否则进行3.2;
    • 3.2、匹配 trustedProxies 的暂存在 proxiesHeaderValue 数组中。否则进行3.3;
    • 3.3、对于既不是内部代理、又不是可信代理的IP地址,则作为新request.getRemoteAddr()的值。结束循环,不再进行匹配操作。
  • 4、更新request
    • 4.1、将第三步中得到的代理IP地址数组写入到request.getHeader(proxiesHeader)中(若数组长度为0,则为null)
      —— 由此可见,经历过上述处理的request请求,request.getHeader(proxiesHeader)中代理的IP地址并不包括经过的所有代理IP地址,且有可能一个代理IP地址都没有写入。
    • 4.2、将第3步尚未做过匹配检查的IP列表重新写回到request.getHeader(remoteIpHeader)中;
  • 5、判断 request.getHeader(protocolHeader) 与protocolHeaderHttpsValue(值为“https”)是否一致:
    • 5.1、若 request.getHeader(protocolHeader) == null:不做任何操作
    • 5.2、若一致:修改 secure=true,schema=https,port=https请求的默认端口(httpsServerPort的值,默认为443)
    • 5.3、若不一致:修改 secure=false,schema=http,port=http请求的默认端口(httpServerPort的值,默认为80)
  • 6、调用下一个VAULE对象的invoke 方法,对处理过的request\response进行新的处理
    ——> 会进入项目,经过一系列filter之后,执行controller方法。所以controller中的request是经过tomcat处理的请求;

下一个VAULE对象在测试时是:org.apache.catalina.core.StandardEngineValve的实例

扩展
请求的流转路径
web应用的容器控制(利用 org.apache.catalina.Container的扩展与实现),从左到右按照从最外层容器类型到最内层容器类型的顺序:Engine, HOST, CONTEXT,WRAPPER
在这里插入图片描述
在这里插入图片描述

  • 7、恢复request的HEADER 为传入本方法时的初始状态(执行第一步前的状态,将修改过的值赋值为原值),返回请求给用户。
Tomcat中定制阀门
seaboat——a free boat on the sea.(公众号:远洋号)
05-17 4558
我们说管道机制给我们带来了更好的扩展性,Tomcat中在扩展性方面具体如何体现,这便是本节讨论的内容。从上节了解到基础阀门是必须执行的,假如你需要一个额外的逻辑处理阀门,可以添加一个非基础阀门。 我的需求是对每个请求访问进行IP记录,打印到日志里面,详细操作如下: ① 自定义一个阀门PrintIPValve,只要继承ValveBase并重写invoke方法即可,ValveBase是Tomcat
Apache HTTP Server实现负载均衡原理解析及实战演练
AI天才研究院
08-05 1319
Apache Http服务器是一个开源、免费的Web服务器软件,用于在网络上提供网页服务。它可用于搭建静态网站,也能够响应动态页面请求,提供HTTP代理,支持虚拟主机等功能。最近由于互联网业务的快速发展和爆炸性增长,Apache服务器作为负载均衡服务器得到越来越多的应用,也是目前最流行的Web服务器之一。本文将主要介绍Apache Http服务器的负载均衡实现原理,以及基于其实现负载均衡的配置和实际测试案例。
nginx-filter:不推荐使用 org.apache.catalina.valves.RemoteIpValve 代替
07-05
nginx过滤器 不推荐使用 org.apache.catalina.valves.RemoteIpValve 代替。 此项目将永远不会再更新。 ============ java web应用的过滤器,通常可以配置全局服务器。 <filter> <filter>NginxFilter</filter> <filter>com.ys168.zhanhb.filter.NginxFilter</filter> <init> <param>excludes</param> <param>61.153.34.35, 10.7.18.100, 127.0.0.1</param> </init> </filter>
tomcat8的Valve Component(阀门组件)之Remote IP Valve远程IP阀门
ystyaoshengting的专栏
09-23 1612
介绍 Tomcat port ofmod_remoteip, this valve replaces the apparent client remote IP address and hostname for the request with the IP address list presented by a proxy or a load balancer via a request h...
X-Forwarded-For等http头字段与Tomcat的 Remote IP Valve(Valve源码分析之六)
glenshappy的专栏
05-19 1972
从invoke方法来看,最开始是保存了原有的request的这些属性,然后再进行原始IP,协议,端口等属性的改变,最后当执行完容器组件的pipeline之后,还原回来,保证整个web交易和原来一样,就像没有改过一样;X-Forwarded-For和X-Forwarded-Proto的信息是很有价值的,在Tomcat中可以通过获取这两个字段的信息,拿到真实的客户端的请求IP和协议;其次,还有一个是X-Forwarded-by字段,该字段是标识为负载均衡proxy的可信代理的IP地址;
Tomcat (org.apache.catalina.valves.RemoteIpValve)的使用
热门推荐
t0m的专栏
06-04 1万+
        在使用Nginx做反向代理后, tomcat的访问日志ip地址始终为127.0.0.1, 是nginx反向代理的地址, 需要访问日志为实际ip地址, 修改tomcat/conf/server.xml文件.        默认如下:&lt;Valve className="org.apache.catalina.valves.AccessLogValve" directory="lo...
nginx+tomcat 获取正确的remoteAddr
Coder
04-30 2543
一、问题背景 通过nginx来反向代理客户端请求,经过nginx中转转发给tomcat服务器,但发现tomcat服务器无法获取到正确的remoteAddr客户端地址,每次请求拿到的都是nginx所在服务器的IP 1、在tomcat服务器上查看tomcat服务日志,发现打印的请求日志,remoteAddr都是nginx的IP,而不是客户端的真实IP ## 192.168.200.251是...
Jetty/Tomcat + Nginx反向代理获取客户端真实IP、域名、协议、端口
叉叉哥的BLOG
06-26 9090
问题Nginx反向代理后,Servlet应用通过request.getRemoteAddr()取到的IP是Nginx的IP地址,并非客户端真实IP,通过request.getRequestURL()获取的域名、协议、端口都是Nginx访问Web应用时的域名、协议、端口,而非客户端浏览器地址栏上的真实域名、协议、端口。例如在某一台IP为10.4.64.22的服务器上,Jetty或者Tomcat端口号为
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 989
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IP在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
Tomcat配置深度解读】:提升POST请求参数长度限制的有效策略
本文首先回顾了Tomcat的基础配置知识,然后对POST请求参数长度限制进行了理论分析,包括HTTP协议中POST方法的作用、数据传输方式和编码机制,以及参数长度限制的必要性,如安全性和系统资源限制。接着详细解析了...
nginx反向代理配置多域名多端口ssl
qq_43521336的博客
11-17 6654
nginx反向代理配置多域名多端口ssl 如题,我使用的环境是centos7.5,nginx/1.16.1,tomcat9。目前我搭配的是一个给tomcat使用的域名配ssl,一个是给node使用的域名配ssl,使用的是两个不同的端口。 至于安装nginx和tomcat、node的安装还有申请证书之类的我这里就不说了。 1.修改tomcat配置 如图,修改端口号,我这里是改为3003,...
SAML message intended destination endpoint did not match recipient endpoint,问题解决及原理
bigbearxyz的博客
12-04 1230
彻底解决报错:SAML message intended destination endpoint 'XXX' did not match the recipient endpoint 'XXX'
【Guacamole中文文档】二、用户指南 —— 4.代理Guacamole
weixin_39974140的博客
02-21 1833
代理Guacamole 像大多数web应用程序一样,Guacamole可以放在反向代理后面。对于Guacamole的生产部署,强烈建议这样做。它提供了灵活性,且如果代理针对SSL进行了正确配置,还可以提供加密。 代理隔离了本机应用程序中的特权操作,这些操作可以在不再需要时安全地丢弃这些特权,仅将Java用于非特权任务。在Linux和UNIX系统上,进程必须以root权限运行,才能侦听1024以下的任何端口,包括标准HTTP和HTTPS端口(分别为80和443)。如果servlet容器改为侦听更高的端口,例如
Tomcat 获取客户端真实IP X-Forwarded-For
最新发布
weixin_44021888的博客
04-10 1592
Tomcat 获取客户端真实IP X-Forwarded-For
Nginx SSL 结合Tomcat 重定向URL变成HTTP的问题
zhao1949的专栏
11-27 961
http://www.siven.net/posts/d925bb5d.html ************************************************** 问题描述 由于要配置服务器(Nginx + Tomcat)的SSL的问题(Nginx同时监听HTTP和HTTPS),但是,如果用户访问的是HTTPS协议,然后Tomcat进行重定向的时候,却变成了HTTP. ...
利用Tocmat阀的使网站更安全
鲤鱼商城
09-30 1329
1.客户访问日志阀详细记录访问网站的主机的时间,地址等信息directory="logs"prefix="localhost_access_log." suffix=".txt"pattern="common"resolveHosts="true"/>2.远程地址过滤器使用一些不安全的IP地址访问网站deny="192.168.168.168,192.168.168.169"/>3
Spring,Tomcat - 获得负载均衡器的真正的IP
javaZhong的博客
01-14 1475
主要用于日志记录和安全目的,我们需要传入请求的IP地址信息。在任何java Web应用程序中,您都可以使用getRemoteAddr()方法获取IP地址。 String httpServletAddress = request.getRemoteAddr(); 但是,如果您的应用程序在负载均衡器代理后运行,并且您希望在我们的应用程序实例收到请求时转换用户使用的实际请求IP而不是来自代理的I...
springboot请求头x-forwarded-proto设置https,request.getScheme为http问题排查
qq_29478409的博客
03-19 7086
springboot请求头x-forwarded-proto设置https,request.getScheme为http问题排查 记录一次项目中网关代理过来的请求头中x-forwarded-proto为https,但是后台request.getScheme()为http的排查过程 idea全局搜索x-forwarded-proto关键字(RemoteIpValue.class) private String protocolHeader = "X-Forwarded-Proto"; 定位到org.apa
Tomcat如何防止X-Forwarded-For
为了生活,不得不努力奋斗!
02-15 673
整改建议: 1、 配置Tomcat过滤器中的remoteIPHeader选项为“X-Forwarded-For”,让Tomcat从正确的请求头中取值; 2、 添加header拦截器,在请求到达Tomcat之前,如果发现请求头中存在X-Forwarded-For,就把它删掉; 3、 设置合理的Tomcat访问权限,只允许可信任IP地址对Tomcat服务器发起请求; 4、 在nginx服务器端配置p...
深入解析Tomcat中的GET与POST请求处理
Tomcat处理GET和POST请求的主要区别体现在以下几个方面: 1. 参数获取方式: - GET请求的参数通过HttpServletRequest对象的`getQueryString()`方法或`getParameter()`方法来获取,其中参数值来自URL的查询字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值