黄鸟抓包(Reqable)是一款跨平台的专业HTTP开发与调试工具,全面支持HTTP/1、HTTP/2及HTTP/3(QUIC)协议。其界面简洁、功能强大、运行高效,专为提升开发与测试人员的工作效率而设计。该工具需具备一定网络基础知识,适用于开发、测试、网络安全、爬虫等领域的专业用户,或在专业人士指导下使用。
新一代API调试与测试一体化平台
Reqable 是集 API 调试、测试、管理于一体的现代化解决方案,具备全平台兼容、免登录、轻量级、高性能、无广告等优势,致力于让 API 开发更快速、更简单。它能够实时抓取移动应用的 HTTP/HTTPS 流量,帮助工程师精准定位网络问题;同时提供完整的 API 测试能力,并支持多设备协同工作,显著提升开发与测试效率。
作为 HttpCanary 的全新升级版本,Reqable 重构了全部 UI 与核心功能,确保移动端与桌面端体验高度一致。
CA 根证书安装指南
若需分析移动端应用的加密流量,必须在目标设备上安装 Reqable 生成的 CA 根证书。应用内已内置 Android 与 iOS 平台的详细安装指引。
重要须知:
若您通过电脑端进行流量分析,请将电脑生成的 CA 根证书安装至移动端设备;若直接使用移动端 App 抓包,则需安装该设备本地生成的 CA 根证书。
每台设备生成的 CA 证书均唯一。如需多设备共用同一证书,可导出 .p12 格式文件后在其他设备导入。
小技巧:在移动端初始化时选择“协同模式”并扫码连接电脑,系统将自动同步电脑端的 CA 证书至当前手机,实现证书统一。
Android 证书安装详解
Android 证书分为用户证书与系统证书两类:用户证书无需权限即可安装,系统证书则需 Root 权限。
Reqable 依赖 ADB 工具检测已连接 Android 设备的证书状态(包括系统与用户证书)。请确保电脑已正确安装并配置 ADB。
关于 ADB 工具:Android Debug Bridge(ADB)由 Google 提供,可从 Android 开发者官网下载。安装后需配置 ANDROID_HOME 与 PATH 环境变量,并重启 Reqable 生效。
系统证书:无论是否 Root,Reqable 均可检测系统证书状态;仅 Root 设备支持一键安装(兼容 Android 5.0–15)。
若已成功安装系统证书,可跳过用户证书安装步骤。
用户证书:需手动操作安装,路径如下:
设置 → 安全 → 加密与凭据 → 安装证书 → CA 证书,选择导出的证书文件并完成授权验证。
注意:Reqable 无法识别非 Root 设备的用户证书状态,将始终显示“未知”。此外,Android 7.0 及以上版本需在应用项目中额外配置以信任用户证书。
警告:此方法仅适用于原生 Android 应用,对 Flutter 应用无效。
配置方式一(推荐):在 build.gradle 中添加依赖,Debug 包将自动集成网络安全配置。若无法连接 Maven 中央仓库,请采用方式二。
配置方式二:手动创建网络安全配置文件。
新建文件:res/xml/network_security_config.xml
并在 AndroidManifest.xml 中引用该配置:
注意:正式发布版本中务必移除此配置。更多详情请参考官方 Android 开发文档。
浏览器证书信任说明
即使成功安装证书,部分浏览器仍可能不信任,需单独处理。
Chrome 浏览器:高版本 Chrome 忽略系统目录中的自签名 CA 证书。建议:
- 高版本 Chrome:将证书安装至用户证书目录;
- 低版本 Chrome:安装至系统证书目录。
若不确定版本,可两种方式分别尝试。
Firefox 浏览器:使用独立 CA 存储机制,系统或用户证书均默认不被信任。需手动启用第三方证书支持:
- 进入 Firefox 设置 → 关于 Firefox → 连续点击顶部 Logo 5 次,开启调试菜单;
- 返回设置 → Secret Settings → 启用 “Use third party CA certificates”;
- 随后将 CA 证书安装至用户目录即可生效。
iOS 证书安装流程
iOS 设备证书安装操作简便,按以下三步完成:
第一步:下载描述文件(证书)
- 手动保存:点击“导出 CA 证书”,在“文件”App 的 Reqable 文档目录中找到证书,将其移至上一级目录,点击后系统提示“已下载描述文件”;
- 浏览器下载:点击证书后自动跳转浏览器下载,完成后自动提示。
第二步:进入 设置 → 已下载的描述文件 → 选择文件 → 安装。
第三步:信任证书:设置 → 通用 → 关于 → 证书信任设置 → 开启对应开关。
HTTPS 抓包异常的常见原因
即便证书已正确安装,仍可能无法解析 HTTPS 流量,主要原因包括:
- 应用启用了证书固定(Certificate Pinning),仅接受特定签发机构的证书;
- 启用了双向 TLS 验证,要求客户端提供有效证书;
- 应用使用内置 CA 证书校验逻辑,绕过系统证书信任链。
Android 使用常见问题排查
1. 证书问题
安装指南:https://reqable.com/zh-CN/docs/getting-started/installation/
故障排查:https://reqable.com/zh-CN/docs/faq/ssl/
2. 查看日志
打开侧边栏,长按顶部 Logo,即可选择并查看日志文件。
3. 无法捕获应用流量
请确认已完成以下设置:
- 已开启调试开关;
- 记录模式设为VPN(非代理);
- 已启用增强模式;
- 已清除所有筛选与搜索条件;
- 已移除指定应用限制。
随后启动 Reqable 调试,用手机浏览器访问百度首页进行测试。
警告:若浏览器提示“不安全连接”,属证书信任问题,请参阅:
Chrome:https://reqable.com/zh-CN/docs/faq/android/#chrome
Firefox:https://reqable.com/zh-CN/docs/faq/android/#firefox
情况一:百度无法访问,且 Reqable 调试列表无任何流量(含 CONNECT 请求)→ 可能代理端口被占用,尝试更换端口;若仍无效,请通过 GitHub 或微信反馈。
情况二:百度可访问,但调试列表无流量 → 再次确认为 VPN 模式;若仍无效,请反馈。
情况三:百度可访问且能看到流量 → 说明目标应用禁止在 VPN 下运行,请联系应用开发商。
4. 无法连接电脑
- 确认手机与电脑处于同一局域网;
- 检查是否在同一网段(部分网络禁止跨段通信);
- 尝试电脑连接手机热点后扫码;
- 检查电脑防火墙是否放行 Reqable 代理端口。
5. 协同模式下无流量
- 切换至独立模式(侧边栏选择“调试”Tab),按第 3 条排查;
- 在手机端关闭或重新启用增强模式;
- 更换电脑端端口后重新扫码连接。
6. Chrome 提示不安全网站
处理方式同前文:高版本装用户证书,低版本装系统证书,可分别尝试。
7. Firefox 提示不安全网站
需在 Firefox 调试菜单中启用第三方 CA 证书支持(操作步骤见上文)。
8. 无法访问境外受限网站
Reqable 本身不提供翻墙功能。若已具备合法境外访问权限,可:
- 在电脑端启动科学上网工具;
- 在 Reqable 桌面端配置二级代理指向该工具;
- 手机端通过协同模式扫码连接电脑。
核心功能亮点
#1 独立模式
无需依赖桌面端,直接在手机上监听、抓取、分析应用流量。支持 JSON 视图、Hex 视图、图片预览等多种数据呈现方式,并可对请求进行重放、编辑、保存等操作,快速定位问题。
#2 协同模式
通过扫码将手机流量转发至桌面端,免去手动配置 Wi-Fi 代理的繁琐。协同模式下支持增强抓包,可拦截 Flutter 等不走系统代理的应用流量,并在电脑端实现断点调试、请求重写、脚本注入等高级操作。
#3 全面流量抓包能力
基于 VPN 技术,默认支持以下特性:
- HTTP/1.x、HTTP/2 协议;
- HTTP/HTTPS/Socks4/Socks4a/Socks5 代理;
- TLSv1.1/1.2/1.3 加密;
- WebSocket(基于 HTTP/1 升级);
- IPv4 与 IPv6;
- SSL 代理;
- HTTP/HTTPS 二级代理;
- 请求筛选、搜索、排序;
- API 编辑与历史记录;
- 请求重发与回放;
- 语法高亮与 HAR 导出;
- 自动生成请求代码。
#4 强大 API 测试功能
提供完整的 API 开发测试环境,支持:
- HTTP/1.1、HTTP/2、HTTP/3 (QUIC) 请求;
- API 集合管理;
- 环境变量配置;
- 参数批量编辑;
- 多种授权方式;
- 代理设置;
- 性能指标查看;
- Cookie 管理;
- 历史记录追踪;
- cURL 命令支持;
- 多语言代码生成。
最新版本更新日志(v2.32.2)
【新功能】
- API 集合支持文件夹级别的授权与脚本配置。
【优化】
- 重构 HTTP 方法管理的 UI/UX;
- JSON 树视图支持单击展开/折叠节点;
- 优化调试列表导出文件的命名规则;
- 用户证书安装指引文案更准确清晰。
【修复】
- 从 API 集合删除接口时未自动关闭标签页;
- API 请求头使用环境变量时报“非法名称”错误;
- 协同二维码显示无效 IP 地址;
- 英文版中 Android 开发文档链接拼写错误;
- 打开应用列表偶发闪退;
- API 集合页面按返回键错误跳转至首页而非上级目录。
