Webman获取真实IP技巧与代理透传方法

在多级代理（如Nginx+CDN+WAF）环境下，Webman获取用户真实IP并非简单读取HTTP头即可实现，而是一套需Nginx透传配置、realip模块严格启用与应用层安全调用三者深度协同的系统性方案：首层代理必须用`$remote_addr`初始化`X-Forwarded-For`，后续层级仅追加不覆盖；Nginx须精准配置`set_real_ip_from`可信网段、`real_ip_header X-Forwarded-For`及关键的`real_ip_recursive on`；Webman中必须调用`Request::getRealIp()`而非手动解析伪造风险极高的`$_SERVER['HTTP_X_FORWARDED_FOR']`。任何一环缺失——无论是漏配一个可信IP、关闭递归模式，还是在webman-admin等插件中被动态覆盖header——都会导致真实IP丢失，让安全审计、限流风控和日志分析彻底失效。

Webman 默认不透传真实客户端 IP，$_SERVER['REMOTE_ADDR'] 拿到的永远是上一跳代理（比如 Nginx）的 IP，不是用户真实 IP。必须靠 Nginx 配置 + Webman 启用 realip 模块 + 应用层安全读取三者配合，缺一不可。

Webman 前的 Nginx 必须正确设置 proxy_set_header

Webman 本身不解析 HTTP 头，它依赖 Nginx 注入或透传的字段。如果你在 Webman 前还套了 CDN、WAF 或另一层 Nginx（即多级代理），Nginx 配置就决定了后端能拿到什么。

• 首层代理（直连公网）必须用 $remote_addr 初始化 X-Forwarded-For：proxy_set_header X-Forwarded-For $remote_addr;
• 后续每一层（包括 Webman 自身前的 Nginx）必须只追加、不覆盖：proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;（注意不是 $http_x_forwarded_for）
• 务必加上 proxy_set_header X-Real-IP $remote_addr; 和 proxy_set_header X-Forwarded-Proto $scheme;，后者对 HTTPS 跳转和 URL 生成很关键
• 禁止在任意环节写死 X-Forwarded-For 值（如 "1.2.3.4"）或清空该头——漏掉一环，链路就断了

Webman 必须启用 realip 模块并配置可信代理网段

Nginx 的 realip 模块不是可选插件，它是 Webman 在多级代理下还原真实 IP 的唯一可信依据。不启用，$_SERVER['REMOTE_ADDR'] 就永远是内网地址（比如 127.0.0.1 或 192.168.10.5）。

• 在 Webman 所在服务器的 Nginx 配置中（http / server / location 块均可），添加可信代理来源：set_real_ip_from 10.0.0.5;（一级代理 IP）、set_real_ip_from 192.168.100.0/24;（二级代理网段）
• 指定解析头：real_ip_header X-Forwarded-For;
• 开启递归模式：real_ip_recursive on;（否则只取最右一个 IP，无法穿透多层）
• 启用后，$_SERVER['REMOTE_ADDR']、日志里的 $remote_addr、以及 Webman 内部 Request::getRealIp() 返回的值，都会自动变成 XFF 中“第一个不在可信列表里的 IP”——这才是真实用户 IP

PHP 代码里别直接读 $_SERVER['HTTP_X_FORWARDED_FOR']

Webman 框架本身不自动处理伪造头，应用层仍需防御性读取。直接 explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'])[0] 是高危操作，攻击者 curl -H "X-Forwarded-For: 1.1.1.1" 就能绕过。

• 优先使用 Webman 提供的 Request::getRealIp() 方法——它内部已集成 realip 校验逻辑，比手动解析更可靠
• 若需自定义逻辑，先检查 $_SERVER['REMOTE_ADDR'] 是否在你配置的可信代理网段内；只有匹配时，才进一步解析 $_SERVER['HTTP_X_FORWARDED_FOR']
• 解析时务必过滤私有地址：filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE)，避免把 192.168.1.100 当作用户 IP 记录
• 不要信任 $_SERVER['HTTP_X_REAL_IP']——它只是 Nginx 转发的头，没经过 realip 校验，仍可能被伪造

webman-admin 插件的特殊注意事项

如果你用的是 webman/admin 搭建内网穿透平台（比如暴露本地服务到公网），它的 Nginx 配置常被忽略两个致命点：

• upstream nat { server 127.0.0.1:8001; } 这个 upstream 对应的后端（如 nat-server）也必须走同一套 realip 链路——不能只在 Webman 入口配，而让 :8001 直接监听、不设代理头
• 泛域名 server_name *.example.com; 下的 proxy_pass 块，容易漏掉 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;，导致子域名流量丢失原始 IP（比如 test.example.com 流量进来了，但后端看到的仍是 127.0.0.1）
• webman-admin 后台的“内网穿透模块”会动态生成配置，重启后可能覆盖你手动加的 proxy_set_header ——建议把关键头设置写在全局 http 块，或确认插件是否支持自定义 header 模板

最容易被忽略的其实是 realip 的递归模式和可信网段范围：少写一个 set_real_ip_from，或者忘了 real_ip_recursive on，XFF 链路就卡在倒数第二跳，真实 IP 永远拿不到。这不是代码问题，是整个代理拓扑的信任边界问题。

好了，本文到此结束，带大家了解了《Webman获取真实IP技巧与代理透传方法》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！