一个session id覆盖的小问题

新项目线上部署,查看日志时,看到一个空指针异常。然后看到异常位置,跑到gitlab上搜到这个代码查看:

HttpSession session = request.getSession(false);
if (session == null || 
	!(session.getAttribute(Constants.VERCODE).equals(verCode))) {

.....

这是把验证码放到session里了,然后从session里获取进行验证。但业务开发人员没考虑获取不到验证码的场景,然后……空指针了。

一个小问题,但为什么会这里获取不到验证码,为什么没有测试出来?

看完代码,继续看了下日志,获取验证码接口与登录接口的sessionId不一致。我们sessionId是存放在cookie里的,前端没做任何操作。

打开网站试了下登录,触发了这个空指针异常。。。但再次登录就正常,有点意思了。

然后看了下前端请求调用,发现了端倪。

会话正常流程是,前端初次请求后台接口,cookie里没有sessionId,后台初始化一个,并存放到cookie里返回。前端第二次请求的时候,携带这个cookie中的sessionId进行访问。

抓请求的时候发现,初次打开页面时,前端发起了两次后台请求。一个请求是获取验证码,另一个请求是查询一些公告信息。

两个接口都是以没有sessionId的状态进行请求,所以后台为两个接口都初始了session,不同的sessionId,验证码接口先返回,信息查询接口后返回,覆盖了浏览器cookie中的值。

这次,要不是后台开发的不严谨,估计只会以为自己是验证码输入错误而已……没料到这是一个必现的BUG。

posted @ 2017-09-14 16:27  阿拉丁神棍  阅读(1512)  评论(0编辑  收藏  举报