这个协议还是挺复杂的，不止数据做了签名验证，请求体也是经过加密的，不过请求体的加密不算复杂。本着柿子挑软的捏的精神，本篇文章就先来分析下这个请求体是如何加密的。 
抓包
直接抓包，是抓不到这个请求的，需要特殊的手段，直接看抓包的数据吧 
 [图片] 
从请求头中的x-clienttraceid字段中能看关键词：mpaas，再看下请求体，直接看是乱码! 
 [图片] 
切换成 hex 看下 
 [3] 
猜测请求体应该是进行了某种加密。 
关键代码跟踪
从抓包的结果已经能看出是使用了 mpass，那就可以根据关键词查找相关资料了，可以直接到官方查看开发文档，经查找，这个协议是使用了 mpass 的移动网关服务。 
继续查看开发者文档，可以发现存放网络相关全局配置的文件名称，然后搜索这个文件名，搜索结果如下 
 [4] 
就一个文件，那就好办了，直接查看这个类在哪里被调用，最后就可以跟到 JN...