Go 获取客户端真实 IP 方法解析

在Go Web开发中，准确获取客户端真实IP远非简单读取req.RemoteAddr或X-Forwarded-For头所能解决——前者仅返回直连代理地址（如内网Nginx IP），后者则极易被恶意伪造；真正可靠的做法是：先严格校验请求来源是否为可信代理（如限定10.0.0.0/8等私有网段内的自管LB），再安全解析X-Forwarded-For中首个非私有、非链路本地的IP，否则降级使用直连IP；同时必须规避X-Real-IP等未校验字段的滥用、IPv6边界陷阱及容器环境下代理身份误判等高危坑点，否则限流失效、日志失真、风控崩塌将接踵而至。

直接用 req.RemoteAddr 拿到的几乎总是错的——它只返回最后一跳代理的 IP，不是用户真实出口地址。

为什么 req.RemoteAddr 不可靠

客户端请求通常经过 Nginx、CDN 或云负载均衡（如阿里云 SLB、AWS ALB），req.RemoteAddr 只反映与你的 Go 服务直连的那台机器的地址。比如 Nginx 在内网 10.0.1.5 转发请求，req.RemoteAddr 就是 10.0.1.5:32768，和用户毫无关系。

常见错误现象：

• 限流策略对所有用户打在同一个 IP 上（全是 10.x.x.x）
• 日志里看不到真实访问来源，风控规则失效
• 简单取 X-Forwarded-For 第一段就返回，结果被伪造（攻击者加 X-Forwarded-For: 1.2.3.4 即可绕过）

必须校验可信代理后再解析 X-Forwarded-For

真实 IP 要从请求头里取，但前提是确认这个请求确实来自你信任的代理（比如你自己的 Nginx 内网 IP），否则字段可被任意篡改。

关键步骤：

• 先从 req.RemoteAddr 解析出直连 IP：strings.Split(req.RemoteAddr, ":")[0]
• 调用自定义 isTrustedProxy(ip string) 判断该 IP 是否属于你配置的可信代理网段（如 10.0.0.0/8、172.16.0.0/12）
• 如果是可信代理，再读 req.Header.Get("X-Forwarded-For")，按逗号分割，逐个 strings.TrimSpace 后调用 net.ParseIP + IsPrivate 检查，取第一个非私有 IP
• 如果不可信，直接返回直连 IP（此时它就是客户端）

示例逻辑节选：

ip := strings.TrimSpace(strings.Split(req.RemoteAddr, ":")[0])
if isTrustedProxy(ip) {
    if xff := req.Header.Get("X-Forwarded-For"); xff != "" {
        for _, ip = range strings.Split(xff, ",") {
            ip = strings.TrimSpace(ip)
            if ip != "" && !net.ParseIP(ip).IsPrivate() {
                return ip
            }
        }
    }
}
return ip

X-Real-IP 和其他备选头字段怎么处理

X-Real-IP 是 Nginx 常用字段，但它只在明确配置了 proxy_set_header X-Real-IP $remote_addr; 时才有效；没配就为空。不能当主路径依赖。

其他字段如 Proxy-Client-IP、WL-Proxy-Client-IP 属于老旧中间件（如 WebLogic）遗留，出现概率低，且同样无校验机制，只能作为 fallback 使用。

建议顺序：

• 优先走可信代理 + X-Forwarded-For 最左非私有 IP
• 其次 fallback 到 X-Real-IP（需额外校验是否为合法公网 IP）
• 最后 fallback 到直连 IP（req.RemoteAddr 解析后）

别把多个字段拼一起“兜底”：比如同时读 X-Forwarded-For 和 X-Real-IP 并取第一个非空，这会绕过代理校验，等于开门揖盗。

容易忽略的边界情况

IPv6 地址混在 X-Forwarded-For 里时，net.ParseIP(ip).IsPrivate() 仍可用，但注意 ::1、fe80::/10 也属于私有/链路本地地址，要一并过滤。

容器环境（Docker/K8s）下，可信代理判断不能只靠 IP 段：有些服务网格（如 Istio）注入的 sidecar 会带特殊 header，而代理 IP 可能落在 172.17.0.0/16 这类网段里——这时你要确认这个网段是否真的属于你控制的反向代理，而不是容器宿主机虚拟网桥。

最危险的坑：在开发环境用 localhost 直连测试，没经代理，X-Forwarded-For 为空，结果 fallback 到 127.0.0.1，上线后却因 Nginx 配置遗漏导致全量请求都变成 127.0.0.1 ——务必在预发环境用真实链路验证整条路径。

到这里，我们也就讲完了《Go 获取客户端真实 IP 方法解析》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！