说到抓包，这就是涉及到调试和安全问题，对于 Android 7.0 （API 24 ）以下，你可以直接使用 Charles 安装相关证书配置好代理后直接实现。但是在 Android 7.0 之后，Google 推出更加严格的安全机制。

image.png

<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>

至于具体怎么配置，Google 官方给出超级全面解释，官方连接。

简单分析下，为什么在 7.0 之后，在手机内直接安装证书没效果呢？这是 6.0 默认配置：

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

然后这是 7.0 默认配置：

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>

区别显而易见，我们在手机里自己安装证书，就是对应在 user 域，对于 7.0 来说，默认是直接不信任。所以，你装代理证书失去意义。

那要解决 7.0 不能抓包调试这个问题，你可以直接配置出这文件，选择上面 6.0 默认配置方式，信任来自 user 域证书。这样，你就又可以抓包调试。

上面方式最为简单，但是也有一些安全问题。比如说，你这么一配置，其实相当于否定 Google 为 7.0 https 增强的安全策略。而且这么一来，你的 https 请求任何人都可以抓包，这有什么意义呢？

接着介绍 Google 针对这一问题，给出建议：

<debug-overrides>
    <trust-anchors>
        <certificates src="@raw/user"/>
    </trust-anchors>
</debug-overrides>

这个就是我们在调试时可以信任的证书。

您可以通过使用 debug-overrides 指定仅在 android:debuggable 为 true 时才可信的仅调试 CA。通常，IDE 和构建工具会自动为非发布版本设置此标记。

另外像 禁止明文通信 和 固定证书 等高级设置，你也可以在官方文档中看到明确示例，这里就不再展开。

说完调试需求，接着谈谈安全问题。https 抓包，对于自家开发人员来说，这个是开发调试，但是，对于其他人来说，这个就存在重要数据泄漏等安全问题，这就是典型的中间人劫持。所以我觉得 Android 7.0 对于证书信任这一块的细化，的确可以提升应用安全性。我们开发者也不能图一时方便，留下安全隐患。

回到具体场景，如果应用上线后，出现一些问题，你怀疑是正式环境数据有问题，这时候就想抓包看下，那么应该怎么处理呢？

如果，你现在是使用 Okhttp ，我们可以把我们的证书都放到 APP 内部，包括代理证书。然后给 APP 设置一个后门，那就是你可以控制代理证书有效性。这样你就可以在关键时刻通过抓包来查看相关数据。配置也超级简单，大概就这样：

  //代理CA
  val openRawResource =
                if (isDebug) {
                    App.mApp?.resources?.openRawResource(R.raw.charles)
                } else {
                    null
                }

 OkHttpClient.Builder()
...
.sslSocketFactory(SSLUtil.getSSLSocketFactory(openRawResource1, openRawResource), SSLUtil.getTrustManager())
.build()

这里需要注意，使用 .sslSocketFactory() 配置相关证书优先级最高

除此之外如果你觉得安装证书，手动设置代理还是麻烦来，有没有什么更加简单的调试方式，咳咳，还真有哟，stetho ,可以直接使用浏览器来调试网络请求，如果你调试过 WebView ,那就是一样的套路。GitHub 上面有详细的初始化步骤。
第一步在 Application 里初始化一下：

   Stetho.initializeWithDefaults(this);

第二步在 OkHttp 创建时，添加一个 addNetworkInterceptor ,请注意，这里是 addNetworkInterceptor()。之后你就可以在浏览器里去看看数据情况啦。

到这里，简单总结下：

• Android 7.0 之后，默认不再信任用户自己安装的证书，但是引入配置文件可配置相关策略。

• App 数据安全问题应该引起重视，不能以需要调试为由，泄漏出敏感数据源。为了防止别人抓包，我们应该选择只信任对应证书，有必要可留下后门，方便自己调试。

随便推广下，Readhub APP 配置了对应相关方式。每天三分钟，轻松了解实时科技新闻，远离各种算法推送。欢迎到 小米市场 或者 Google Play 下载。