从服务器端获取最终用户IP地址的可靠方法是什么？

Question

我在服务器端使用 JSP 并想验证用户不能从两个不同的 IP 地址登录。进行此验证的方法是什么？

还有人说，由于涉及到一些代理，可能无法从服务器端获取客户端IP地址。那么谷歌和脸书是如何做到这一点的呢？这在生产环境中可靠吗？请解释一下。谢谢 ！

Answer 1

那么 Google 和 Facebook 是如何做到的呢？

他们可能使用许多代理服务器的 X-Forwarded-For 标头在途中添加到请求中。

这仅在代理人说真话的情况下才可靠。

Answer 2

好吧，获取 IP 地址就像使用 ServletRequest#getRemoteAddr()

但正如您已经注意到的，没有办法可靠地获得此信息 - 如果客户端使用代理，则连接将显示为源自该 IP 地址。我认为 Facebook 或 Google 也无法解决这个问题 - 这就是为什么您可以通过具有美国 IP 地址的代理/ssh 隧道登录来访问仅限美国的功能（例如 Gmail 中的 Google 语音）。

如果您只想阻止用户同时从两个不同的 IP 地址登录，您所需要做的就是跟踪他们当前会话（如果存在）源自哪个 IP 地址，然后

• 停止第二次登录尝试，或者使
• 第一次登录尝试过期我

不确定阻止在不同时间从不同 IP 地址登录有什么价值，因为这种情况很可能发生在四处旅行或从一个网络移动到另一个网络的用户身上。