一个session id覆盖的小问题

新项目线上部署,查看日志时,看到一个空指针异常。然后看到异常位置,跑到gitlab上搜到这个代码查看:

HttpSession session = request.getSession(false);
if (session == null || 
    !(session.getAttribute(Constants.VERCODE).equals(verCode))) {

.....

这是把验证码放到session里了,然后从session里获取进行验证。但业务开发人员没考虑获取不到验证码的场景,然后……空指针了。

一个小问题,但为什么会这里获取不到验证码,为什么没有测试出来?

看完代码,继续看了下日志,获取验证码接口与登录接口的sessionId不一致。我们sessionId是存放在cookie里的,前端没做任何操作。

打开网站试了下登录,触发了这个空指针异常。。。但再次登录就正常,有点意思了。

然后看了下前端请求调用,发现了端倪。

会话正常流程是,前端初次请求后台接口,cookie里没有sessionId,后台初始化一个,并存放到cookie里返回。前端第二次请求的时候,携带这个cookie中的sessionId进行访问。

抓请求的时候发现,初次打开页面时,前端发起了两次后台请求。一个请求是获取验证码,另一个请求是查询一些公告信息。

两个接口都是以没有sessionId的状态进行请求,所以后台为两个接口都初始了session,不同的sessionId,验证码接口先返回,信息查询接口后返回,覆盖了浏览器cookie中的值。

这次,要不是后台开发的不严谨,估计只会以为自己是验证码输入错误而已……没料到这是一个必现的BUG。

转载于:https://www.cnblogs.com/coderzl/p/7521328.html

评论将由博主筛选后显示,对所有人可见 | 还能输入1000个字符
©️2020 CSDN 皮肤主题: 大白 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值