今天服务里的微信公众号支付业务突然不能用了,报错为网络环境未能通过安全验证,请稍后再试。检查后端日志,没有任何问题,看来是成功创建支付订单,但是调起支付时出现了问题。上网查了一下,这个报错的直接原因是传入的客户端ip与调起支付的ip不符。但是印象中我在代码中获取的是X-Forwarded-For,就是请求来源的客户端IP,就查看日志发现传给微信的ip为172.17.0.1,也就是宿主机ip,这是才恍然大悟,在升级线上环境时我们将所有服务放进了docker,并且在docker里装了nginx来分发请求给对应的服务,也就是说我们是两级nginx代理,我们的服务是没法拿到最外层客户端ip的。只好改进nginx将每级代理的ip都记录起来,而不是直接覆盖。
改进方法:
对第一级nginx代理
location ~ ^/test {
proxy_pass http://127.0.0.1:8888;
proxy_set_header Host $host;
proxy_set_header X-real-ip $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
}
第一级nginx代理不需要改动,直接将原始客户端ip记录到X-Forwarded-For即可
对于第二级,以及之后可能存在的更多级代理
location ~ ^/test {
proxy_pass http://127.0.0.1:12000;
proxy_set_header Host $host;
proxy_set_header X-real-ip $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
这样就将新一级代理的ip接到X-Forwarded-For的尾部,并用逗号分割。也就是说X-Forwarded-For是一个逗号拼接的ip字符串,想拿到原始ip只需要按逗号分割,取第一位ip即可。
Golang业务中读取原始客户端ip代码
real_ip := r.Header.Get("X-Forwarded-For")
ip_list := strings.Split(real_ip, ",")
if len(ip_list) > 1 {
real_ip = ip_list[0]
}
就是这么简单啦,希望对大家有所帮助~