说到抓包,这就是涉及到调试和安全问题,对于 Android 7.0 (API 24 )以下,你可以直接使用 Charles 安装相关证书配置好代理后直接实现。但是在 Android 7.0 之后,Google
推出更加严格的安全机制。
image.png
<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
<application android:networkSecurityConfig="@xml/network_security_config"
... >
...
</application>
</manifest>
至于具体怎么配置,Google 官方给出超级全面解释,官方连接。
简单分析下,为什么在 7.0 之后,在手机内直接安装证书没效果呢?这是 6.0 默认配置:
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
<certificates src="user" />
</trust-anchors>
</base-config>
然后这是 7.0 默认配置:
<base-config cleartextTrafficPermitted="true">
<trust-anchors>
<certificates src="system" />
</trust-anchors>
</base-config>
区别显而易见,我们在手机里自己安装证书,就是对应在 user 域,对于 7.0 来说,默认是直接不信任。所以,你装代理证书失去意义。
那要解决 7.0 不能抓包调试这个问题,你可以直接配置出这文件,选择上面 6.0 默认配置方式,信任来自 user 域证书。这样,你就又可以抓包调试。
上面方式最为简单,但是也有一些安全问题。比如说,你这么一配置,其实相当于否定 Google 为 7.0 https 增强的安全策略。而且这么一来,你的 https 请求任何人都可以抓包,这有什么意义呢?
接着介绍 Google 针对这一问题,给出建议:
<debug-overrides>
<trust-anchors>
<certificates src="@raw/user"/>
</trust-anchors>
</debug-overrides>
这个就是我们在调试时可以信任的证书。
您可以通过使用
debug-overrides
指定仅在 android:debuggable 为true
时才可信的仅调试 CA。通常,IDE 和构建工具会自动为非发布版本设置此标记。
另外像 禁止明文通信
和 固定证书
等高级设置,你也可以在官方文档中看到明确示例,这里就不再展开。
说完调试需求,接着谈谈安全问题。https
抓包,对于自家开发人员来说,这个是开发调试,但是,对于其他人来说,这个就存在重要数据泄漏等安全问题,这就是典型的中间人劫持。所以我觉得 Android 7.0 对于证书信任这一块的细化,的确可以提升应用安全性。我们开发者也不能图一时方便,留下安全隐患。
回到具体场景,如果应用上线后,出现一些问题,你怀疑是正式环境数据有问题,这时候就想抓包看下,那么应该怎么处理呢?
如果,你现在是使用 Okhttp
,我们可以把我们的证书都放到 APP
内部,包括代理证书。然后给 APP
设置一个后门,那就是你可以控制代理证书有效性。这样你就可以在关键时刻通过抓包来查看相关数据。配置也超级简单,大概就这样:
//代理CA
val openRawResource =
if (isDebug) {
App.mApp?.resources?.openRawResource(R.raw.charles)
} else {
null
}
OkHttpClient.Builder()
...
.sslSocketFactory(SSLUtil.getSSLSocketFactory(openRawResource1, openRawResource), SSLUtil.getTrustManager())
.build()
这里需要注意,使用 .sslSocketFactory()
配置相关证书优先级最高
除此之外如果你觉得安装证书,手动设置代理还是麻烦来,有没有什么更加简单的调试方式,咳咳,还真有哟,stetho ,可以直接使用浏览器来调试网络请求,如果你调试过 WebView
,那就是一样的套路。GitHub
上面有详细的初始化步骤。
第一步在 Application
里初始化一下:
Stetho.initializeWithDefaults(this);
第二步在 OkHttp
创建时,添加一个 addNetworkInterceptor
,请注意,这里是 addNetworkInterceptor()。之后你就可以在浏览器里去看看数据情况啦。
到这里,简单总结下:
-
Android 7.0 之后,默认不再信任用户自己安装的证书,但是引入配置文件可配置相关策略。
-
App 数据安全问题应该引起重视,不能以需要调试为由,泄漏出敏感数据源。为了防止别人抓包,我们应该选择只信任对应证书,有必要可留下后门,方便自己调试。