Laravel中获取客户端ip地址的几种方法及最佳实践

来源：这里教程网时间：2026-02-15 09:18:47 作者：

1. 基本方法：$request->ip()

Laravel 中最简单的方法是使用请求对象的 ip() 方法：

public function getClientIp(Request $request)
{
    return $request->ip();
}

工作原理

$request->ip() 方法实际上是调用了 Symfony 的 Request::getClientIp() 方法，它会按照以下顺序检查可能的 IP 来源：

HTTP_CLIENT_IPHTTP_X_FORWARDED_FORREMOTE_ADDR

优点

使用简单，一行代码即可Laravel 内置支持，无需额外配置自动处理了部分代理情况

缺点

在复杂的代理环境下可能无法获取真实 IP无法自定义 IP 获取的优先级

2. 获取 X-Forwarded-For 头信息

当你的应用运行在负载均衡器或反向代理(如 Nginx、Cloudflare 等)后面时，可以使用：

public function getForwardedIp(Request $request)
{
    return $request->header('X-Forwarded-For');
}

注意事项

X-Forwarded-For 可能包含多个 IP 地址（以逗号分隔），通常是客户端 IP 和代理服务器 IP第一个 IP 通常是原始客户端 IP这个头信息容易被伪造，不应单独用于安全敏感场景

3. 获取特定头信息

除了 X-Forwarded-For，还可以检查其他常见头信息：

public function getClientIps(Request $request)
{
    return [
        'x_forwarded_for' => $request->header('X-Forwarded-For'),
        'forwarded' => $request->header('Forwarded'),
        'client_ip' => $request->header('HTTP_CLIENT_IP'),
        'remote_addr' => $_SERVER['REMOTE_ADDR'] ?? null,
    ];
}

4. 信任代理配置

如果你使用负载均衡器或 CDN，需要配置 Laravel 信任这些代理：

修改 TrustProxies 中间件

app/Http/Middleware/TrustProxies.php:

protected $proxies = [
    '192.168.1.1',
    '192.168.1.2',
    // 或者信任所有代理（生产环境慎用）
    // '*'
];

// 使用的头信息
protected $headers = Request::HEADER_X_FORWARDED_FOR |
    Request::HEADER_X_FORWARDED_HOST |
    Request::HEADER_X_FORWARDED_PORT |
    Request::HEADER_X_FORWARDED_PROTO |
    Request::HEADER_X_FORWARDED_AWS_ELB;

配置后，$request->ip() 将自动返回客户端真实 IP。

5. 最佳实践

生产环境：配置 TrustProxies 中间件并明确指定可信代理获取最可信 IP：

public function getTrustedIp(Request $request)
{
    $ip = $request->ip();
    
    // 如果有多个IP（来自X-Forwarded-For），取第一个
    if (str_contains($ip, ',')) {
        $ips = explode(',', $ip);
        $ip = trim($ips[0]);
    }
    
    return $ip;
}

日志记录：建议同时记录原始信息和最终确定的 IP安全验证：对于敏感操作，不要仅依赖 IP 进行身份验证