当我刚接触 aws 时,我在执行对文档进行数字签名的任务时遇到了一个有趣的挑战,该任务需要客户的 ip 作为电子签名的一部分。最初,当第一次实现似乎完美运行时,我感到很兴奋。然而,我的兴奋是短暂的。在测试过程中,我注意到即使我从不同的机器访问应用程序,也会返回相同的 ip 地址。就在那时,我意识到我收到的 ip 地址不是实际的客户端 ip,而是负载均衡器的 ip。
这个发现带领我走上了一条探究和学习的道路。我必须更深入地了解发生了什么以及如何检索真实的客户端 ip。在这篇博客中,我将分享我的经验,并提供有关如何使用 aws lambda 和 python 实现此目标的全面指南,确保您在使用应用程序负载均衡器 (alb) 时能够准确捕获客户端的 ip 地址。
了解挑战
当客户端通过 alb 向您的应用程序发出请求时,负载均衡器充当中介。因此,您的应用程序看到的 ip 地址是 alb 的 ip 地址,而不是客户端的 ip 地址。为了解决这个问题,alb 在 x-forwarded-for http 标头中包含客户端的 ip。如果请求通过多个代理,此标头可以包含多个 ip 地址。
这是我们需要处理的:
提取客户端ip:检索并解析x-forwarded-for标头。
处理多个ip:即使涉及多个代理,也确保我们获得正确的客户端ip。
安全考虑
由于潜在的安全风险,应谨慎使用 x-forwarded-for 标头。只有由网络内受到适当保护的系统添加的条目才被认为是可信的。这确保了客户端 ip 不被篡改且可靠。
选择正确的工具
aws lambda 和 python
aws lambda 是一种无服务器计算服务,让您无需预置或管理服务器即可运行代码。 python 以其简单性和可读性,是在 lambda 函数中处理此任务的绝佳选择。
关键部件
aws lambda function:处理传入请求的核心函数。
应用程序负载均衡器(alb):将请求转发到 lambda 函数的负载均衡器。
实施细节
使用 alb 设置 aws lambda
首先,确保您的 lambda 函数已设置并与 alb 集成。如果需要,请遵循 aws 的官方指南:使用 lambda 函数作为 application load balancer 的目标。
lambda 函数代码
让我们深入研究 lambda 函数的 python 代码。此函数将从 x-forwarded-for 标头中提取客户端的 ip 地址。
import json
def lambda_handler(event, context):
# extract the 'x-forwarded-for' header
x_forwarded_for = event['headers'].get('x-forwarded-for')
if x_forwarded_for:
# the first ip in the list is the client's ip
client_ip = x_forwarded_for.split(',')[0]
else:
# fallback if header is not present
client_ip = event['requestcontext']['identity']['sourceip']
# log the client ip
print(f"client ip: {client_ip}")
# respond with the client ip
return {
'statuscode': 200,
'body': json.dumps({'client_ip': client_ip})
}
解释
提取标头:从传入请求中检索 x-forwarded-for 标头。
解析header:取第一个ip,代表客户端的原始ip。
后备机制:如果标头不存在,则使用请求上下文中的源 ip。
记录和响应:记录并返回客户端的ip以进行验证。
请求和响应示例
要求:
{
"headers": {
"x-forwarded-for": "203.0.113.195, 70.41.3.18, 150.172.238.178"
},
"requestcontext": {
"identity": {
"sourceip": "70.41.3.18"
}
}
}
回复:
{
"client_ip": "203.0.113.195"
}
结论
识别 alb 后面的 aws lambda 函数中的实际客户端 ip 需要仔细处理 x-forwarded-for 标头。这种方法可确保准确的 ip 日志记录并增强应用程序个性化和保护用户交互的能力。
参考文献
aws alb 文档:
aws lambda 中的 python:
http 标头解释