新项目线上部署，查看日志时，看到一个空指针异常。然后看到异常位置，跑到gitlab上搜到这个代码查看:

HttpSession session = request.getSession(false);if (session == null ||     !(session.getAttribute(Constants.VERCODE).equals(verCode))) {.....

这是把验证码放到session里了，然后从session里获取进行验证。但业务开发人员没考虑获取不到验证码的场景，然后……空指针了。

一个小问题，但为什么会这里获取不到验证码，为什么没有测试出来？

看完代码，继续看了下日志，获取验证码接口与登录接口的sessionId不一致。我们sessionId是存放在cookie里的，前端没做任何操作。

打开网站试了下登录，触发了这个空指针异常。。。但再次登录就正常，有点意思了。

然后看了下前端请求调用，发现了端倪。

会话正常流程是，前端初次请求后台接口，cookie里没有sessionId，后台初始化一个，并存放到cookie里返回。前端第二次请求的时候，携带这个cookie中的sessionId进行访问。

抓请求的时候发现，初次打开页面时，前端发起了两次后台请求。一个请求是获取验证码，另一个请求是查询一些公告信息。

两个接口都是以没有sessionId的状态进行请求，所以后台为两个接口都初始了session，不同的sessionId，验证码接口先返回，信息查询接口后返回，覆盖了浏览器cookie中的值。

这次，要不是后台开发的不严谨，估计只会以为自己是验证码输入错误而已……没料到这是一个必现的BUG。