好了，閱讀到了這里，說明你對https已經(jīng)非常熟悉了，那么你一定知道，https協(xié)議是結(jié)合了非對稱加密和對稱加密一起工作，從而保證數(shù)據(jù)傳輸?shù)陌踩缘摹?/p>

非對稱加密用于確?？蛻舳丝梢园踩孬@取到服務(wù)器的真實公鑰。對稱加密用于確?？蛻舳撕头?wù)器之間的數(shù)據(jù)傳輸不會被任何人監(jiān)聽和解密，因為對稱加密使用的密鑰只有客戶端和服務(wù)器這兩者知道，其他任何人在不知道密鑰的情況下都無法對傳輸數(shù)據(jù)進(jìn)行解密。

那么看似固若金湯的https協(xié)議，抓包工具是如何在這其中找到一個“破綻”，從而實現(xiàn)對https請求進(jìn)行抓包的呢？

其實嚴(yán)格來說，這也算不上是一個破綻，而是用戶的一個主動行為。還記得我們在上篇文章中講到的，如果想要對https請求進(jìn)行抓包，必須在手機上安裝一個由Fiddler提供的證書嗎？這個證書就是整個工作原理的核心，如果沒有它，那么https就是不可能被抓包的。而安裝證書需要由用戶主動去操作，說明用戶知道自己在干什么，自然也應(yīng)該承擔(dān)相應(yīng)的風(fēng)險。這也是為什么我一直在說，https是非常安全的，但https也是可以被抓包的，它們兩者之間并不沖突。

接下來，我們就具體研究一下，為什么只需要額外安裝一個證書，抓包工具就可以實現(xiàn)對https請求進(jìn)行抓包。

我們將實現(xiàn)原理分成兩個部分來解析，第一部分是客戶端如何安全地獲取服務(wù)器的真實公鑰，第二部分是客戶端如何與服務(wù)器商定用于對稱加密的密鑰。

借助那些可信賴的CA機構(gòu)，客戶端是可以安全地獲取到服務(wù)器的真實公鑰的。

CA機構(gòu)專門用于給各個服務(wù)器簽發(fā)數(shù)字證書，從而保證客戶端可以安全地獲得服務(wù)器的公鑰。

服務(wù)器的管理員可以向CA機構(gòu)進(jìn)行申請，將自己的公鑰提交給CA機構(gòu)。CA機構(gòu)則會幫忙制作證書，并使用自己的私鑰對其加密，然后將加密后的信息返回給服務(wù)器。

這樣，當(dāng)客戶端想要去獲取某個服務(wù)器的公鑰時，服務(wù)器會將CA機構(gòu)簽發(fā)的那段加密信息返回。那么客戶端要如何解密這段信息呢？放心，主流CA機構(gòu)的公鑰都是被內(nèi)置到操作系統(tǒng)當(dāng)中的，所以只要是服務(wù)器的數(shù)字證書是由正規(guī)CA機構(gòu)簽發(fā)的，那么就一定可以被解密成功，從而客戶端也就能安全地獲取到服務(wù)器的公鑰了。示意圖如下：

而抓包工具在這個過程中可以做什么事情呢？我們還是以Fiddler舉例。Fiddler的工作是介于客戶端和服務(wù)器中間的，它會先于客戶端接收到服務(wù)器返回的加密數(shù)據(jù)，然后它也可以使用操作系統(tǒng)內(nèi)置的CA公鑰對這段數(shù)據(jù)解密，從而得到服務(wù)器的公鑰，并先將這個公鑰保存起來。

接下來，F(xiàn)iddler會將解密出來的數(shù)據(jù)進(jìn)行調(diào)包，將其中服務(wù)器返回的公鑰替換成自己的一個公鑰，然后使用自己的非對稱加密私鑰對數(shù)據(jù)重新加密，并將這段重新加密后的數(shù)據(jù)返回給客戶端。示意圖如下：

但是我們知道，用Fiddler自己的私鑰加密后的數(shù)據(jù)，客戶端肯定解密不出來呀，因為Fiddler的公鑰并沒有內(nèi)置到操作系統(tǒng)當(dāng)中，這個時候就會出現(xiàn)我們在上篇文章看到的錯誤。

那么接下來要怎么辦你應(yīng)該很清楚了吧？這也是為什么我們一定要在手機上安裝一個Fiddler提供的證書才行，只是為了讓客戶端能夠解密出Fiddler調(diào)包之后的數(shù)據(jù)。如下圖所示：

這樣客戶端仍然獲得了一個公鑰，并且還以為這個公鑰是服務(wù)器返回的，實際上這是一個被Fiddler調(diào)包之后的公鑰。而服務(wù)器返回的真實公鑰則被Fiddler保存了起來。

到這里為止，獲取服務(wù)器公鑰的流程就結(jié)束了，目前各部分的狀態(tài)如下：

接下來是客戶端與服務(wù)器商定對稱加密密鑰的過程。

由于使用什么對稱加密密鑰是由客戶端這邊來決定的，客戶端可以利用隨機算法在本地生成一個對稱加密密鑰，并用服務(wù)器返回的公鑰進(jìn)行加密，然后發(fā)送給服務(wù)器。由于公鑰加密的數(shù)據(jù)只能用私鑰解密，因此沒有任何人能破解出客戶端生成的對稱加密密鑰到底是什么。

然后服務(wù)器這邊使用自己的私鑰將客戶端發(fā)來的數(shù)據(jù)進(jìn)行解密，這樣客戶端和服務(wù)器就都知道對稱加密的密鑰是什么了，并且絕對沒有第三個人能知道，這樣雙方之后都使用對稱加密來進(jìn)行通訊即可，從而保證了數(shù)據(jù)傳輸?shù)陌踩?。示意圖如下：

然而現(xiàn)在有了Fiddler，一切就都不一樣了。

客戶端這邊拿到的其實根本就不是服務(wù)器的公鑰，而是由Fiddler調(diào)包后的公鑰。所以，客戶端這邊生成一個對稱加密密鑰后，使用的也是Fiddler調(diào)包后的公鑰來進(jìn)行加密的，這樣這段加密后的數(shù)據(jù)只有用Fiddler自己的私鑰才能解開。

那么很顯然，F(xiàn)iddler當(dāng)然是有自己的私鑰的，因此它能夠解密出這段數(shù)據(jù)，這樣Fiddler就知道客戶端生成的對稱加密密鑰是什么了。

接下來不要忘記，F(xiàn)iddler還在之前就保存了服務(wù)器返回的真實公鑰，那么現(xiàn)在Fiddler可以用真實的服務(wù)器公鑰再次加密這段數(shù)據(jù)，然后將加密后的數(shù)據(jù)發(fā)送給服務(wù)器。

對于服務(wù)器而言，它并不知道客戶端這邊發(fā)生了什么事，也不知道Fiddler的存在。它只知道，用自己的私鑰是可以解密出客戶端發(fā)來的數(shù)據(jù)，并能從中獲得對稱加密的密鑰。示意圖如下：

到這里，對稱加密密鑰的商定過程也就結(jié)束了，目前各部分的狀態(tài)如下：

自我介紹一下，小編13年上海交大畢業(yè)，曾經(jīng)在小公司待過，也去過華為、OPPO等大廠，18年進(jìn)入阿里一直到現(xiàn)在。

深知大多數(shù)初中級Android工程師，想要提升技能，往往是自己摸索成長或者是報班學(xué)習(xí)，但對于培訓(xùn)機構(gòu)動則近萬的學(xué)費，著實壓力不小。自己不成體系的自學(xué)效果低效又漫長，而且極易碰到天花板技術(shù)停滯不前！

因此收集整理了一份《2024年Android移動開發(fā)全套學(xué)習(xí)資料》，初衷也很簡單，就是希望能夠幫助到想自學(xué)提升又不知道該從何學(xué)起的朋友，同時減輕大家的負(fù)擔(dān)。

既有適合小白學(xué)習(xí)的零基礎(chǔ)資料，也有適合3年以上經(jīng)驗的小伙伴深入學(xué)習(xí)提升的進(jìn)階課程，基本涵蓋了95%以上Android開發(fā)知識點，真正體系化！

由于文件比較大，這里只是將部分目錄截圖出來，每個節(jié)點里面都包含大廠面經(jīng)、學(xué)習(xí)筆記、源碼講義、實戰(zhàn)項目、講解視頻，并且會持續(xù)更新！

如果你覺得這些內(nèi)容對你有幫助，可以掃碼獲取?。。▊渥ⅲ篈ndroid）

最后

為了方便有學(xué)習(xí)需要的朋友，我把資料都整理成了視頻教程（實際上比預(yù)期多花了不少精力）

當(dāng)程序員容易，當(dāng)一個優(yōu)秀的程序員是需要不斷學(xué)習(xí)的，從初級程序員到高級程序員，從初級架構(gòu)師到資深架構(gòu)師，或者走向管理，從技術(shù)經(jīng)理到技術(shù)總監(jiān)，每個階段都需要掌握不同的能力。早早確定自己的職業(yè)方向，才能在工作和能力提升中甩開同齡人。

• 無論你現(xiàn)在水平怎么樣一定要 持續(xù)學(xué)習(xí) 沒有雞湯，別人看起來的毫不費力，其實費了很大力，這四個字就是我的建議?。?/li>
• 我希望每一個努力生活的IT工程師，都會得到自己想要的，因為我們很辛苦，我們應(yīng)得的。

當(dāng)程序員容易，當(dāng)一個優(yōu)秀的程序員是需要不斷學(xué)習(xí)的，從初級程序員到高級程序員，從初級架構(gòu)師到資深架構(gòu)師，或者走向管理，從技術(shù)經(jīng)理到技術(shù)總監(jiān)，每個階段都需要掌握不同的能力。早早確定自己的職業(yè)方向，才能在工作和能力提升中甩開同齡人。

無論你現(xiàn)在水平怎么樣一定要 持續(xù)學(xué)習(xí) 沒有雞湯，別人看起來的毫不費力，其實費了很大力，沒有人能隨隨便便成功。

加油，共勉。文章來源地址http://www.zghlxwxcb.cn/news/detail-858419.html

《Android學(xué)習(xí)筆記總結(jié)+移動架構(gòu)視頻+大廠面試真題+項目實戰(zhàn)源碼》，點擊傳送門即可獲??！

無論你現(xiàn)在水平怎么樣一定要 持續(xù)學(xué)習(xí) 沒有雞湯，別人看起來的毫不費力，其實費了很大力，沒有人能隨隨便便成功。

加油，共勉。

《Android學(xué)習(xí)筆記總結(jié)+移動架構(gòu)視頻+大廠面試真題+項目實戰(zhàn)源碼》，點擊傳送門即可獲??！

到了這里，關(guān)于為什么如此安全的https協(xié)議卻仍然可以被抓包呢？(1)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！