是否有可能在java servlet中准确确定客户端的IP地址

Question

我想配置我的网络中的一台机器接受来自特定机器的所有呼叫而不进行身份验证。为此，我计划使用客户端计算机的IP地址作为允许未经检查的身份验证所需的可信因素。

我的问题是，是否有可能准确确定客户端在java servlet中的IP地址？是否有可能通过一些黑客机制来改变我在servlet中获得的IP，以使我的服务器相信它是可信的IP？

例如，如果我的服务器计算机配置为信任192.168.0.1，那么是否有可能被除192.168.0.1以外的其他客户端伪装为192.168.0.1并欺骗我的身份验证机制？

Answer 1

您可以使用HttpServletRequest类中的getRemoteAddr()方法获取IP地址。不过要小心。如果您的客户端位于代理服务器（或甚至NAT防火墙）的后面，您将获得代理IP地址。因此，您还可以查找X-Forwarded-For HTTP标头（用于标识HTTP代理之后客户端的源IP地址的标准）。查看更多关于Wikipedia。不过要小心。如果你的客户端不在代理之后，你可以得到一个空的XFF头。所以，如果你要遵循这个路径，你应该使用servlet方法和XFF头部评估的混合。但是，并不能保证代理会将您的标题转发给您。

但请注意，源IP地址可以被任何恶意客户端轻易更改或伪造。我真的推荐使用某种客户端身份验证（例如，证书）。有没有办法让一个web应用程序准确地确定的客户端IP地址。

Answer 2

IPs可以很容易伪造像电子邮件发件人我强烈建议不要单靠它们。

Answer 3

您的服务可能容易受到IP Spoofing的影响。伪造来自不同IP地址的数据包很容易。但是，欺骗的事情是，攻击者将无法收到任何响应数据包。因此，如果致电您的服务不会导致内部状态改变（即只读），那么您应该没问题。但是，如果您的服务呼叫将发出写入，那么您不应仅仅依靠IP地址，因为欺骗数据包足以改变系统的内部状态。

Answer 4

您可以当地susepitable到ARP Spoofing。恶意机器说服路由器将IP地址与其MAC地址相关联。

水平和信任的机制，实际上取决于服务器/服务你想保护你在工作的环境的敏感性。

在我看来，这是考虑到私人地方安排IP地址192.168范围。如果这台服务器不是面向公众的，不是关键的，而且您正在一个相对安全的局域网环境中工作，该环境与公众和其他私人局域网关闭的很好，那么您应该可以。否则，您应该查看更高级别的其他安全选项。

Answer 5

我的问题是，是否有可能准确确定一个java servlet中的客户端的IP地址？

不，这是不可能的。由于用户的行为或用户无法控制的其他原因，您将看不到真实的客户端IP地址。

在后一种情况下，基于IP的身份识别最终导致您诚实的客户头痛;即您真正想要保留的客户。

如果您确实需要限制对特定计算机集的访问权限，则应考虑将SSL/TLS等客户端证书用作第一道防线。带有客户端证书的TLS描述为here。