IIS でホストされている ASP.NET WebAPI アプリを使用ServerVariables["REMOTE_ADDR"]して、クライアント アドレスを取得し、ユーザーを識別します。クライアントがログインすると、クライアント IP を含む Cookie が生成されます。後続の呼び出しでは、Cookie から IP を取得し、それが正しいことを検証します。
アドレスを信頼できますか、またはクライアントが実際に別の場所にある場合などにServerVariables["REMOTE_ADDR"]返す方法はありますか?161.121.222.223
はい、安全です。これは TCP 接続の送信元 IP であり、HTTP ヘッダーを変更して置き換えることはできません。
心配する必要があるケースの 1 つは、リバース プロキシの背後にいる場合です。この場合、REMOTE_ADDR は常にプロキシ サーバーの IP になり、ユーザー IP は HTTP ヘッダー (X-Forwarded-For など) で提供されます。 )。しかし、通常の使用例では、REMOTE_ADDR を読み取ることは問題ありません。
はい、信頼できます。別の IP から接続する場合を除いて、クライアントが変更することはできません。(プロキシー)