最近在寫一個客戶端訪問客戶提供的webservice時，得到響應異常，於是想用工具抓取請求響應的soap資料查詢異常原因，如果service是http釋出的，用一般的http、tcp監控工具都可以抓到傳送資料的原文，但是我請求的service是https釋出的，使用一般的較底層的網路抓包工具抓到的都是經過加密的資料。搜尋了很多相關文章最後找到了抓取解密後https明文的方法。

     我的前題是我使用java寫的一段客戶端程式碼請求一個基於https釋出的webservice，我的客戶端程式碼工具自動生成的基於JAX-WS的客戶端程式碼。思路是這樣的，我們需要找到一個基於proxy的http抓包工具並且他支援https抓包解碼。然後在客戶端程式碼中設定代理的ip和埠號然後傳送請求就可以利用工具抓到解密後的原文。

我找了一些工具，像apache的tcpMon只能抓到加密過的資料。membrane-monitor感覺介面做的不錯，但是貌似對https的代理支援不太完全，像smsniff這樣的也是太底層，只能抓到密文。最後發現兩個工具可以支援抓到解密後的資料，就是Fiddler2和paros兩個都是開源的免費軟體。Fiddler2是個不錯的工具，安裝後他會自動代理ie和firefox等瀏覽器請求，基本無需設定，預設代理埠是8888.要抓取https資料，需要設定https解密功能開啟即可。具體可參考這篇文章在伺服器上用Fiddler抓取HTTPS流量 ，paros是個相當簡單的軟體，安裝好後只要設定個代理地址和埠就可以了，預設就支援代理和解密https。設定好代理後，該如何使用客戶端程式碼呼叫呢，首先在呼叫客戶端的程式碼前我們需要在system property中設定如下代理的配置項：

System.setProperty("http.proxyHost", "localhost");
System.setProperty("http.proxyPort", "8888");

光這樣程式碼執行還是會得到異常提示需要證書，客戶端傳送https請求是需要證書資訊的，出於除錯目的我們可以在客戶端程式碼中設定忽略ssl認證，（這裡我們提供一個證書到制定一個路徑應該也是可以的，具體參考java net相關api）這樣就可以正常傳送請求了，請求成功後，可以看到fidder2中抓到了請求的資料。忽略ssl認證的程式碼如下：

// The following tells Java to ignore certificate problems TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) { } public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) { } } }; try { SSLContext context = SSLContext.getInstance("TLS"); context.init(null, trustAllCerts, new java.security.SecureRandom()); HttpsURLConnection.setDefaultSSLSocketFactory(context.getSocketFactory()); } catch (Exception e) { } // This tells Java to not worry about hostnames matching HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() { public boolean verify(String string, SSLSession ssls) { return true; } });