說到抓包，這就是涉及到調試和安全問題，對于 Android 7.0 （API 24 ）以下，你可以直接使用 Charles 安裝相關證書配置好代理后直接實現。但是在 Android 7.0 之后，Google 推出更加嚴格的安全機制。

image.png

<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>

至于具體怎么配置，Google 官方給出超級全面解釋，官方連接。

簡單分析下，為什么在 7.0 之后，在手機內直接安裝證書沒效果呢？這是 6.0 默認配置：

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

然后這是 7.0 默認配置：

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>

區別顯而易見，我們在手機里自己安裝證書，就是對應在 user 域，對于 7.0 來說，默認是直接不信任。所以，你裝代理證書失去意義。

那要解決 7.0 不能抓包調試這個問題，你可以直接配置出這文件，選擇上面 6.0 默認配置方式，信任來自 user 域證書。這樣，你就又可以抓包調試。

上面方式最為簡單，但是也有一些安全問題。比如說，你這么一配置，其實相當于否定 Google 為 7.0 https 增強的安全策略。而且這么一來，你的 https 請求任何人都可以抓包，這有什么意義呢？

接著介紹 Google 針對這一問題，給出建議：

<debug-overrides>
    <trust-anchors>
        <certificates src="@raw/user"/>
    </trust-anchors>
</debug-overrides>

這個就是我們在調試時可以信任的證書。

您可以通過使用 debug-overrides 指定僅在 android:debuggable 為 true 時才可信的僅調試 CA。通常，IDE 和構建工具會自動為非發布版本設置此標記。

另外像 禁止明文通信 和 固定證書 等高級設置，你也可以在官方文檔中看到明確示例，這里就不再展開。

說完調試需求，接著談談安全問題。https 抓包，對于自家開發人員來說，這個是開發調試，但是，對于其他人來說，這個就存在重要數據泄漏等安全問題，這就是典型的中間人劫持。所以我覺得 Android 7.0 對于證書信任這一塊的細化，的確可以提升應用安全性。我們開發者也不能圖一時方便，留下安全隱患。

回到具體場景，如果應用上線后，出現一些問題，你懷疑是正式環境數據有問題，這時候就想抓包看下，那么應該怎么處理呢？

如果，你現在是使用 Okhttp ，我們可以把我們的證書都放到 APP 內部，包括代理證書。然后給 APP 設置一個后門，那就是你可以控制代理證書有效性。這樣你就可以在關鍵時刻通過抓包來查看相關數據。配置也超級簡單，大概就這樣：

  //代理CA
  val openRawResource =
                if (isDebug) {
                    App.mApp?.resources?.openRawResource(R.raw.charles)
                } else {
                    null
                }

 OkHttpClient.Builder()
...
.sslSocketFactory(SSLUtil.getSSLSocketFactory(openRawResource1, openRawResource), SSLUtil.getTrustManager())
.build()

這里需要注意，使用 .sslSocketFactory() 配置相關證書優先級最高

除此之外如果你覺得安裝證書，手動設置代理還是麻煩來，有沒有什么更加簡單的調試方式，咳咳，還真有喲，stetho ,可以直接使用瀏覽器來調試網絡請求，如果你調試過 WebView ,那就是一樣的套路。GitHub 上面有詳細的初始化步驟。
第一步在 Application 里初始化一下：

   Stetho.initializeWithDefaults(this);

第二步在 OkHttp 創建時，添加一個 addNetworkInterceptor ,請注意，這里是 addNetworkInterceptor()。之后你就可以在瀏覽器里去看看數據情況啦。

到這里，簡單總結下：

• Android 7.0 之后，默認不再信任用戶自己安裝的證書，但是引入配置文件可配置相關策略。

• App 數據安全問題應該引起重視，不能以需要調試為由，泄漏出敏感數據源。為了防止別人抓包，我們應該選擇只信任對應證書，有必要可留下后門，方便自己調試。

隨便推廣下，Readhub APP 配置了對應相關方式。每天三分鐘，輕松了解實時科技新聞，遠離各種算法推送。歡迎到 小米市場 或者 Google Play 下載。