Tomcat 利用 RemoteIpValve 对每个request请求的处理规则

Tomcat RemoteIpValve详解
最新推荐文章于 2024-04-10 17:45:55 发布
原创 最新推荐文章于 2024-04-10 17:45:55 发布 · 7.4k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Tomcat中的RemoteIpValve组件的工作原理及其配置选项,包括remoteIpHeader、proxiesHeader、internalProxies及trustedProxies等属性的作用与处理流程。

文章目录

org.apache.catalina.valves.RemoteIpValve的属性

1、 remoteIpHeader

声明HEADER的key值,对应key的存储value值为从请求客户端开始经过的所有IP地址列表(IP间以英文逗号分隔)。

2、proxiesHeader

声明HEADER的key值,对应key的存储value值为从请求客户端开始经过的内部代理的IP地址列表(IP间以英文逗号分隔)。经过tomcat时,由tomcat根据remoteIpHeader、、对HEADER进行复制。不保证包括所有内部代理的IP列表

3、 internalProxies

声明了内部代理的IP地址匹配正则表达式。request.getHeader(remoteIpHeader)的IP列表中,只有不匹配了该正则式的IP才有可能写入request.getHeader(proxiesHeader)中

4、trustedProxies

声明了可信代理的IP地址匹配正则表达式。request.getHeader(remoteIpHeader)的IP列表中,如果非内部代理、但是可信代理的IP,则有可能写入request.getHeader(proxiesHeader)中(不匹配internalProxies,匹配trustedProxies)

tomcat利用RemoteIpValve对请求头内容的处理内容

可见org.apache.catalina.valves.RemoteIpValve#invoke

  • 1、获取request中的所需信息,调用 request.getRemoteAddr() 获取 request.getHeader(remoteIpHeader) 的值;

作为初始值,最后需要还原回 request 中;在回传给前端用户前,恢复对request的修改。

  • 2、对 remoteAddr 按“,” 切割字符串,得到 IP地址数值;
  • 3、对 IP地址数值进行遍历,总最后一个IP开始(String中位于最右的IP),对每个IP 依次(internalProxies、trustedProxies)进行正则表达式匹配:
    • 3.1、不匹配 internalProxies 的直接跳过,对数组中下一个IP进行匹配。否则进行3.2;
    • 3.2、匹配 trustedProxies 的暂存在 proxiesHeaderValue 数组中。否则进行3.3;
    • 3.3、对于既不是内部代理、又不是可信代理的IP地址,则作为新request.getRemoteAddr()的值。结束循环,不再进行匹配操作。
  • 4、更新request
    • 4.1、将第三步中得到的代理IP地址数组写入到request.getHeader(proxiesHeader)中(若数组长度为0,则为null)
      —— 由此可见,经历过上述处理的request请求,request.getHeader(proxiesHeader)中代理的IP地址并不包括经过的所有代理IP地址,且有可能一个代理IP地址都没有写入。
    • 4.2、将第3步尚未做过匹配检查的IP列表重新写回到request.getHeader(remoteIpHeader)中;
  • 5、判断 request.getHeader(protocolHeader) 与protocolHeaderHttpsValue(值为“https”)是否一致:
    • 5.1、若 request.getHeader(protocolHeader) == null:不做任何操作
    • 5.2、若一致:修改 secure=true,schema=https,port=https请求的默认端口(httpsServerPort的值,默认为443)
    • 5.3、若不一致:修改 secure=false,schema=http,port=http请求的默认端口(httpServerPort的值,默认为80)
  • 6、调用下一个VAULE对象的invoke 方法,对处理过的request\response进行新的处理
    ——> 会进入项目,经过一系列filter之后,执行controller方法。所以controller中的request是经过tomcat处理的请求;

下一个VAULE对象在测试时是:org.apache.catalina.core.StandardEngineValve的实例

扩展
请求的流转路径
web应用的容器控制(利用 org.apache.catalina.Container的扩展与实现),从左到右按照从最外层容器类型到最内层容器类型的顺序:Engine, HOST, CONTEXT,WRAPPER
在这里插入图片描述
在这里插入图片描述

  • 7、恢复request的HEADER 为传入本方法时的初始状态(执行第一步前的状态,将修改过的值赋值为原值),返回请求给用户。
Tomcat中定制阀门
seaboat——a free boat on the sea.(公众号:远洋号)
05-17 4561
我们说管道机制给我们带来了更好的扩展性,Tomcat中在扩展性方面具体如何体现,这便是本节讨论的内容。从上节了解到基础阀门是必须执行的,假如你需要一个额外的逻辑处理阀门,可以添加一个非基础阀门。 我的需求是对每个请求访问进行IP记录,打印到日志里面,详细操作如下: ① 自定义一个阀门PrintIPValve,只要继承ValveBase并重写invoke方法即可,ValveBase是Tomcat
Apache HTTP Server实现负载均衡原理解析及实战演练
AI天才研究院
08-05 1322
Apache Http服务器是一个开源、免费的Web服务器软件,用于在网络上提供网页服务。它可用于搭建静态网站,也能够响应动态页面请求,提供HTTP代理,支持虚拟主机等功能。最近由于互联网业务的快速发展和爆炸性增长,Apache服务器作为负载均衡服务器得到越来越多的应用,也是目前最流行的Web服务器之一。本文将主要介绍Apache Http服务器的负载均衡实现原理,以及基于其实现负载均衡的配置和实际测试案例。
nginx反向代理配置多域名多端口ssl
qq_43521336的博客
11-17 6654
nginx反向代理配置多域名多端口ssl 如题,我使用的环境是centos7.5,nginx/1.16.1,tomcat9。目前我搭配的是一个给tomcat使用的域名配ssl,一个是给node使用的域名配ssl,使用的是两个不同的端口。 至于安装nginx和tomcat、node的安装还有申请证书之类的我这里就不说了。 1.修改tomcat配置 如图,修改端口号,我这里是改为3003,...
Tomcat 获取客户端真实IP X-Forwarded-For
最新发布
weixin_44021888的博客
04-10 1599
Tomcat 获取客户端真实IP X-Forwarded-For
tomcat8的Valve Component(阀门组件)之Remote IP Valve远程IP阀门
ystyaoshengting的专栏
09-23 1613
介绍 Tomcat port ofmod_remoteip, this valve replaces the apparent client remote IP address and hostname for the request with the IP address list presented by a proxy or a load balancer via a request h...
X-Forwarded-For等http头字段与Tomcat的 Remote IP Valve(Valve源码分析之六)
glenshappy的专栏
05-19 1978
从invoke方法来看,最开始是保存了原有的request的这些属性,然后再进行原始IP,协议,端口等属性的改变,最后当执行完容器组件的pipeline之后,还原回来,保证整个web交易和原来一样,就像没有改过一样;X-Forwarded-For和X-Forwarded-Proto的信息是很有价值的,在Tomcat中可以通过获取这两个字段的信息,拿到真实的客户端的请求IP和协议;其次,还有一个是X-Forwarded-by字段,该字段是标识为负载均衡proxy的可信代理的IP地址;
Jetty/Tomcat + Nginx反向代理获取客户端真实IP、域名、协议、端口
叉叉哥的BLOG
06-26 9092
问题Nginx反向代理后,Servlet应用通过request.getRemoteAddr()取到的IP是Nginx的IP地址,并非客户端真实IP,通过request.getRequestURL()获取的域名、协议、端口都是Nginx访问Web应用时的域名、协议、端口,而非客户端浏览器地址栏上的真实域名、协议、端口。例如在某一台IP为10.4.64.22的服务器上,Jetty或者Tomcat端口号为
python伪造请求头x-forwarded-for的作用_利用X-Forwarded-For伪造客户端IP漏洞成因及防范...
weixin_39984403的博客
12-22 994
问题背景在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。如何获取客户端IP在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般...
Tomcat配置深度解读】:提升POST请求参数长度限制的有效策略
本文首先回顾了Tomcat的基础配置知识,然后对POST请求参数长度限制进行了理论分析,包括HTTP协议中POST方法的作用、数据传输方式和编码机制,以及参数长度限制的必要性,如安全性和系统资源限制。接着详细解析了...
nginx-filter:不推荐使用 org.apache.catalina.valves.RemoteIpValve 代替
07-05
nginx过滤器 不推荐使用 org.apache.catalina.valves.RemoteIpValve 代替。 此项目将永远不会再更新。 ============ java web应用的过滤器,通常可以配置全局服务器。 <filter> <filter>NginxFilter</filter> <filter>com.ys168.zhanhb.filter.NginxFilter</filter> <init> <param>excludes</param> <param>61.153.34.35, 10.7.18.100, 127.0.0.1</param> </init> </filter>
Tomcat (org.apache.catalina.valves.RemoteIpValve)的使用
热门推荐
t0m的专栏
06-04 1万+
        在使用Nginx做反向代理后, tomcat的访问日志ip地址始终为127.0.0.1, 是nginx反向代理的地址, 需要访问日志为实际ip地址, 修改tomcat/conf/server.xml文件.        默认如下:&lt;Valve className="org.apache.catalina.valves.AccessLogValve" directory="lo...
nginx+tomcat 获取正确的remoteAddr
Coder
04-30 2543
一、问题背景 通过nginx来反向代理客户端请求,经过nginx中转转发给tomcat服务器,但发现tomcat服务器无法获取到正确的remoteAddr客户端地址,每次请求拿到的都是nginx所在服务器的IP 1、在tomcat服务器上查看tomcat服务日志,发现打印的请求日志,remoteAddr都是nginx的IP,而不是客户端的真实IP ## 192.168.200.251是...
nginxhttps代理tomcat
weixin_43055250的博客
10-20 976
nginx https 代理http tomcat
tomcat配置问题的解决方案
专注成就非凡
11-03 975
1、tomcat 8.5.51后对请求的路径中包含花括号的预警提醒 异常描述: 28-Oct-2020 15:30:46.212 SEVERE [http-nio-8080-exec-4] org.apache.catalina.core.AprLifecycleListener.init An incompatible version [1.2.12] of the APR based Apache Tomcat Native library is installed, while Tomcat r
springboot获取不到客户端ip问题排查
m0_71777195的博客
11-22 4376
而如果你想要获取Client1的地址,也是可以获取到的,就是通过X-Forwarded-For字段;springboot 2.5.7版本中CloudPlatform多了Kubernetes platform的类型识别,如果使用的是内嵌的tomcat,在k8s环境中会自动添加了tomcatRemoteIpValve,线上环境的httpHeader(x-forwarded-for)只有一个,没有代理ip信息,按RemoteIpValve的逻辑,x-forwarded-for头信息会被删除。
SAML message intended destination endpoint did not match recipient endpoint,问题解决及原理
bigbearxyz的博客
12-04 1231
彻底解决报错:SAML message intended destination endpoint 'XXX' did not match the recipient endpoint 'XXX'
Nginx反向代理Tomcat服务器获取真实IP
范一刀的博客
03-07 852
通过nginx反向代理到tomcat服务器时,在tomcat 服务器中查看日志access.log显示的IP时nginx的地址,如何能看到客户真实的IP地址呢? 1. 配置nginx (添加下文中的粗体) vim nginx.conf --- server { listen 80; server_name localhost; locati...
Tomcat布署web应用程序的两种方法
qinglangee的专栏
01-01 373
1.copy到tomcat安装目录webapps下. 2.tomcat安装目录下,找到tomcat/conf/server.xml,打开并编辑. 在 之间加上如下代码: 其中docBase代表你的web程序源. path代表浏览器访问的根路径. reloadable表示你修改java代码时,服务器是否自动重启. 一般在开发时设为true. 在工程正式打包发布时...
深入解析Tomcat中的GET与POST请求处理
Tomcat处理GET和POST请求的主要区别体现在以下几个方面: 1. 参数获取方式: - GET请求的参数通过HttpServletRequest对象的`getQueryString()`方法或`getParameter()`方法来获取,其中参数值来自URL的查询字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值