この記事は Postman Advent Calendar 2023 のシリーズ 2、13日目の記事です。
前回の記事では、ブラウザー拡張機能である Postman インターセプターを使って、ブラウザートラフィックから API コレクションを作る方法を紹介しました。さて、もし API にアクセスするアプリがブラウザーアプリではない場合、どうやって API トラフィックをキャプチャすればよいでしょうか?
こういう状況でよく使われる方法は、プロキシサーバーの利用です。特に、モバイルアプリからの API アクセスなどは、クライアント端末で Wireshark などのパケットキャプチャツールを動かすわけにもいかないので、プロキシサーバーを設置して、端末からの通信をプロキシ経由に設定する方法が便利です。この用途に関しては、ローカル PC にプロキシを立ち上げてキャプチャを行う Charles や Fiddler などのツールが有名ですかね。
しかし、Postman が内蔵するプロキシ機能を使えば、プロキシの立ち上げから API トラフィックのキャプチャ、コレクションの作成までが、1 つのツールでシームレスに完結するので非常に効率的です。手順は Postman インターセプターとほぼ同じですので、とても簡単。
では、以下でその手順を追っていきましょう。
プロキシセッションの開始
古いバージョンの Postman デスクトップアプリや Linux 版では、キャプチャの手順が若干異なりますので、こちらのドキュメントをご覧ください。
まずは Postman デスクトップアプリのフッターにある「プロキシの起動」をクリックすると、次のような「新しいプロキシセッション」の説明が表示されます。ここで左下の「プロキシセッションを開始」ボタンをクリックしましょう。
HTTPS 通信のキャプチャのために、初回プロキシセッション開始時に OS に証明書が自動的にインストールされます。この際、システムパスワードの要求が行われる可能性があることにご留意ください。
トラフィックのキャプチャ
プロキシセッションが開始されると、次のような画面でリクエストと Cookie の一覧が表示されます。試しに、ローカル PC 上のブラウザーを使って Web ページへのアクセスを試みると、リクエストが増えていくのがわかります。
さて、ローカル PC のトラフィックは自動的にキャプチャされるのですが、別マシンやモバイルデバイスからの通信をキャプチャするには、それぞれのデバイス上でプロキシの設定が必要です。
例えば iOS であれば、「設定」→「Wifi」の画面で接続中のアクセスポイントの情報アイコン(○の中にi)をクリックして、「プロキシを構成」→「手動」を選択します。そして「サーバ」に Postman が動作するマシンの IP アドレス、「ポート」に 5559 を入力して「保存」をクリックします。
さらに、HTTPS 通信のキャプチャのために、証明書を iOS デバイスにインストールします。Postman が動作するマシンが macOS であれば、~/Library/Application Support/Postman/proxy/postman-proxy-ca.crt が証明書ファイルですので、AirDrop でこれを iOS デバイスに転送します。続いて「設定」→「プロファイルがダウンロードされました」で証明書のプロファイルが表示されますので、「インストール」をクリックします。
そしてもう一つ、「設定」→「一般」→「情報」→「証明書信頼設定」で「Postman Proxy CA」をオンに設定する必要があります。これで iOS デバイスからの通信をすべてキャプチャできるようになります。
以上は iOS の例でしたが、Android など他のデバイスの設定はこちらのドキュメントをご覧ください。
結果を Postman デスクトップアプリで表示
キャプチャを終了するには「停止」ボタンをクリックします。そうするとセッションが終了して、「Proxy debug session」と名付けられたタブの中に、キャプチャされたすべてのリクエスト(およびそのレスポンス)が表示されます。
「概要」「リクエスト」「Cookie」のそれぞれのタブで見ることができる情報は、Postman インターセプターセッションで収集した情報とほぼ同じです。違いは、「概要」タブでステータスコードをベースに集計ができることと、「リクエスト」タブで各リクエストに対するレスポンスも表示できる点です。
また、プロキシセッションの結果のリクエストを選択して、「リクエストを保存」ボタンからコレクションに保存することもできます。こちらも Postman インターセプターと同様ですが、プロキシの場合はさらにレスポンスの情報がリクエストのサンプルとして保存されるため、後でレスポンスの内容を確認したり、サンプルを使ってモックサーバーの応答データとして活用することもできるのが素晴らしいところです。
Postman インターセプターと合わせて、プロキシ機能を使いこなし、リバースエンジニアリングを極めましょう。