【后端】基于Node.js的数据库与身份认证

数据库和身份认证

1. 数据库（database）是用来组织、存储和管理数据的仓库。

   用户可以对数据库中的数据进行新增、查询、更新、删除等操作。

2. 最常见的数据库有如下几个：

• MySQL 数据库（目前使用最广泛、流行度最高的开源免费数据库；Community + Enterprise）

• Oracle 数据库（收费）

• SQL Server 数据库（收费）

• Mongodb 数据库（Community + Enterprise）

3. 其中，MySQL、Oracle、SQL Server 属于传统型数据库（又叫做：关系型数据库 或 SQL 数据库）。

   而 Mongodb 属于新型数据库（又叫做：非关系型数据库 或 NoSQL 数据库），它在一定程度上弥补了传统型数据库的缺陷。

4. 在传统型数据库中，数据的组织结构分为**数据库(database)、数据表(table)、数据行(row)、字段(field)**这 4 大部分组成。

安装MySQL

对于开发人员来说，只需要安装 MySQL Server 和 MySQL Workbench （Navicat）这两个软件，就能满足开发的需要了。

• MySQL Server：专门用来提供数据存储和服务的软件。

• MySQL Workbench（Nacicat）：可视化的 MySQL 管理工具，通过它，可以方便的操作存储在 MySQL Server 中的数据。

什么是SQL

SQL（英文全称：Structured Query Language）是结构化查询语言，专门用来访问和处理数据库的编程语言。

能够让我们以编程的形式，操作数据库里面的数据。

三个关键点：

① SQL 是一门数据库编程语言

② 使用 SQL 语言编写出来的代码，叫做 SQL 语句

③ SQL 语言只能在关系型数据库中使用（例如 MySQL、Oracle、SQL Server）。非关系型数据库（例如 Mongodb）不支持 SQL 语言

SQL能做什么

① 从数据库中查询数据

② 向数据库中插入新的数据

③ 更新数据库中的数据

④ 从数据库删除数据

⑤ 可以创建新数据库

⑥ 可在数据库中创建新表

⑦ 可在数据库中创建存储过程、视图

⑧ etc…

MySQL的基本使用

SQL的SELECT语句

SELECT 语句用于从表中查询数据。执行的结果被存储在一个结果表中（称为结果集）。

语法格式如下：

注意：SQL 语句中的关键字对大小写不敏感。SELECT 等效于 select，FROM 等效于 from。

SQL的 INSERT INTO语句

INSERT INTO 语句用于向数据表中插入新的数据行。

语法格式如下：

SQL的UPDATE语句

Update 语句用于修改表中的数据。

语法格式如下：

例如：把 users 表中 id 为 7 的用户密码，更新为 888888。

UPDATE users SET password='888888' WHERE id=7

SQL的DELETE语句

DELETE 语句用于删除表中的行。

语法格式如下：

SQL的WHERE子句

WHERE 子句用于限定选择的标准。在 SELECT、UPDATE、DELETE 语句中，皆可使用 WHERE 子句来限定选择的标准。

可在WHERE子句中使用的运算符：

注意：在某些版本的SQL中，操作符< >可以写为!=

WHERE子句示例：可以通过 WHERE 子句来限定 SELECT 的查询条件

SQL 的 AND 和 OR 运算符

AND 和 OR 可在 WHERE 子语句中把两个或多个条件结合起来。

AND 表示必须同时满足多个条件，相当于 JavaScript 中的 && 运算符，例如 if (a !== 10 && a !== 20)

OR 表示只要满足任意一个条件即可，相当于 JavaScript 中的 || 运算符，例如 if(a !== 10 || a !== 20)

SQL的ORDER BY子句

ORDER BY 语句用于根据指定的列对结果集进行排序。

ORDER BY 语句默认按照升序对记录进行排序。

如果您希望按照降序对记录进行排序，可以使用 DESC 关键字。

ORDER BY 子句-升序排序

ORDER BY 默认进行升序排序；其中，ASC关键字代表升序排序

SELECT * FROM users ORDER BY status;
SELECT * FROM users ORDER BY status ASC;

ORDER BY 子句-降序排序

SELECT * FROM users ORDER BY id DESC

ORDER BY 字句-多重排序

对 users 表中的数据，先按照 status 字段进行降序排序，再按照 username 的字母顺序，进行升序排序

SELECT * FROM users ORDER BY status DESC, username ASC

SQL的COUNT(*)函数

COUNT(*) 函数用于返回查询结果的总数据条数。

语法格式如下：

使用AS为列设置别名

SELECT COUNT(*) AS total FROM users WHERE status=0

Node 操作 mysql

在项目中操作数据库的步骤

① 安装操作 MySQL 数据库的第三方模块（mysql）

② 通过 mysql 模块连接到 MySQL 数据库

③ 通过 mysql 模块执行 SQL 语句

配置 mysql 模块

1. 安装 mysql 模块

npm install mysql

2. 配置mysql模块，并建立连接

// 1.导入mysql模块
const mysql = require('mysql')
// 2.建立与MySQL数据库的连接
const db = mysql.createPool({
  host: '127.0.0.1',  // 数据库的IP地址
  user: 'root',	
  password: 'root',
  database: 'test',  // 指定要操作哪个数据库
})

3. 测试是否正常工作

db.query('select 1', (err, results) => {
  if (err) return console.log(err.message)
  console.log(results)
})

操作 mysql 数据库

1. 查询数据

db.query('select * from users', (err, results) => {
  if (err) return console.log(err.message)
  console.log(results)
})

2. 插入数据

// 要插入到users表中的数据对象
const user = { username; 'Bruce', password: 'pcc321'}
// 待执行的SQL语句，其中英文的 ? 表示占位符
const sqlStr = 'INSERT INTO users (username, password) VALUES (?, ?)'
// 使用数组的形式为占位符指定具体的值
db.query(sqlStr, [user.username, user.password], (err, results) => {
  if (err) return console.log(err.message)
  if (results.affectedRows === 1) {console.log('插入成功')}
})

向表中新增数据时，如果数据对象的每个属性和数据表的字段一一对应，则可以通过如下方式快速插入数据：

const user = {username:'Bruce', password:'55520'}
const sql = 'INSERT INTO users SET ?'
db.query(sql, user, (err, results) => {
  ...
})

3. 更新数据

// 要更新的数据对象
const user = { id:7, username:'aaa', password:'000'}
// 要执行的SQL语句
const sql = 'UPDATE users SET username=?, password=? WHERE id=?'
// 调用db.query()执行SQL语句的同时，使用数组依次为占位符指定具体的值
db.query(sql, [user.username, user.password, user.id], (err, results) => {
  ...
})

更新表数据时，如果数据对象的每个属性和数据表的字段一一对应，则快捷方式为：

const user = {id:7,username:'Bruce',password:'55520'}
const sql = 'UPDATE users SET ? WHERE id=?'
db.query(sql, [user, user.id], (err, results) => {
  ...
})

4. 删除数据

如果SQL语句中有多个占位符，必须使用数组为每个占位符指定具体的值。

如果只有一个占位符，则可以省略数组。

const sql = 'DELETE FROM users WHERE id=?'
db.query(sql, id, (err, results) => {
  ...
})

使用 DELETE 语句，会把真正的把数据从表中删除掉。为了保险起见，推荐使用标记删除的形式，来模拟删除的动作。

所谓的标记删除，就是在表中设置类似于 status 这样的状态字段，来标记当前这条数据是否被删除。

当用户执行了删除的动作时，我们并没有执行 DELETE 语句把数据删除掉，而是执行了 UPDATE 语句，将这条数据对应的 status 字段标记为删除即可。

db.query('UPDATE users SET status=1 WHERE id=?', 7, (err, results) => {
  ...
})

Web 开发模式

目前主流的 Web 开发模式有两种，分别是：

• 基于服务端渲染的传统 Web 开发模式

• 基于前后端分离的新型 Web 开发模式

服务端渲染

服务器发送给客户端的 HTML 页面，是在服务器通过字符串的拼接动态生成的。

因此客户端不需要使用 Ajax 额外请求页面的数据。

app.get('/index.html', (req, res) => {
  // 1.要渲染的数据
  const user = { name: 'Bruce', age: 29 }
  // 2.服务器端通过字符串的拼接，动态生成HTML内容
  const html = `<h1>username:${user.name}, age:${user.age}</h1>`
  // 3.把生成好的页面内容响应给客户端。因此，客户端拿到的是带有真实数据的HTML页面
  res.send(html)
})

优点：

• 前端耗时短。浏览器只需直接渲染页面，无需额外请求数据。
• 有利于 SEO。服务器响应的是完整的 HTML 页面内容，有利于爬虫爬取信息。

缺点：

• 占用服务器资源。服务器需要完成页面内容的拼接，若请求比较多，会对服务器造成一定访问压力。
• 不利于前后端分离，开发效率低。

前后端分离

前后端分离的开发模式，依赖于 Ajax 技术的广泛应用。后端只负责提供 API 接口，前端使用 Ajax 调用接口。

优点：

• 开发体验好。前端专业页面开发，后端专注接口开发。
• 用户体验好。页面局部刷新，无需重新请求页面。
• 减轻服务器的渲染压力。页面最终在浏览器里生成。

缺点：

• 不利于 SEO。完整的 HTML 页面在浏览器拼接完成，因此爬虫无法爬取页面的有效信息。

  （解决方案：Vue、React 等框架的 SSR（server side render）技术能解决 SEO 问题。）

如何选择

• 企业级网站，主要功能是展示，没有复杂交互，且需要良好的 SEO，可考虑服务端渲染
• 后台管理项目，交互性强，无需考虑 SEO，可使用前后端分离
• 为同时兼顾首页渲染速度和前后端分离开发效率，可采用首屏服务器端渲染+其他页面前后端分离的开发模式

身份认证

什么是身份认证

身份认证（Authentication）又称“身份验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。

不同开发模式下的身份认证

对于服务端渲染和前后端分离这两种开发模式来说，分别有着不同的身份认证方案：

① 服务端渲染推荐使用 Session 认证机制

② 前后端分离推荐使用 JWT 认证机制

HTTP协议的无状态性

HTTP 协议的无状态性，指的是客户端的每次 HTTP 请求都是独立的，连续多个请求之间没有直接的关系，服务器不会主动保留每次 HTTP 请求的状态。

如何突破HTTP无状态的限制

在Web开发中将Cookie作为身份认证的方式，类似于现实生活中超市会员卡机制。

什么是Cookie

• Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。

• 它由一个名称（Name）、一个值（Value）和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成。

• 不同域名下的 Cookie 各自独立，每当客户端发起请求时，会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。

Cookie的几大特性：① 自动发送 ② 域名独立 ③ 过期时限 ④ 4KB 限制

Cookie在身份认证中的作用

客户端第一次请求服务器的时候，服务器通过响应头的形式，向客户端发送一个身份认证的 Cookie，客户端会自动将 Cookie 保存在浏览器中。

随后，当客户端浏览器每次请求服务器的时候，浏览器会自动将身份认证相关的 Cookie，通过请求头的形式发送给服务器，服务器即可验明客户端的身份。

Cookie不具有安全性

由于 Cookie 是存储在浏览器中的，而且浏览器也提供了读写 Cookie 的 API，因此 Cookie 很容易被伪造，不具有安全性。因此不建议服务器将重要的隐私数据，通过 Cookie 的形式发送给浏览器。

Session 认证机制

Session 工作原理

Express 中使用 Session 认证

1. 安装 express-session 中间件

npm install express-session

2. 配置中间件

const session = require('express-session')
// 使用app.use()来注册session中间件
app.use(session({
    secret: 'Bruce', // secret 的值为任意字符串
    resave: false,  // 固定写法
    saveUninitalized: true, // 固定写法
  })
)

3. 向 session 中存数据

中间件配置成功后，可通过 req.session 访问 session 对象，存储用户信息

app.post('/api/login', (req, res) => {
  req.session.user = req.body
  req.session.isLogin = true

  res.send({ status: 0, msg: 'login done' })
})

4. 从 session 取数据

// 获取用户姓名的接口
app.get('/api/username', (req, res) => {
  // 判断用户是否登录
  if (!req.session.isLogin) {
    return res.send({ status: 1, msg: 'fail' })
  }
  res.send({ status: 0, msg: 'success', username: req.session.user.username })
})

5. 清空 session

   调用 req.session.destroy() 函数，即可清空服务器保存的 session 信息。

app.post('/api/logout', (req, res) => {
  // 清空当前客户端的session信息
  req.session.destroy()
  res.send({ status: 0, msg: 'logout done' })
})

Session认证的局限性

Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问，所以，当涉及到前端跨域请求后端接口的时候，需要做很多额外的配置，才能实现跨域 Session 认证。

注意：

• 当前端请求后端接口不存在跨域问题的时候，推荐使用 Session 身份认证机制。

• 当前端需要跨域请求后端接口的时候，不推荐使用 Session 身份认证机制，推荐使用 JWT 认证机制。

JWT 认证机制

前后端分离推荐使用 JWT（JSON Web Token）认证机制，是目前最流行的跨域认证解决方案

JWT 工作原理

用户的信息通过 Token 字符串的形式，保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。

JWT 组成部分

• 通常由三部分组成，分别是 Header（头部）、Payload（有效荷载）、Signature（签名）。三者使用 . 分隔

其中：

• Payload 是真正的用户信息，加密后的字符串
• Header 和 Signature 是安全性相关部分，保证 Token 安全性

// 格式如下
Header.Payload.Signature
// JWT字符串的示例
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTcsInVzZXJuYW1lIjoiQnJ1Y2UiLCJwYXNzd29yZCI6IiIsIm5pY2tuYW1lIjoiaGVsbG8iLCJlbWFpbCI6InNjdXRAcXEuY29tIiwidXNlcl9waWMiOiIiLCJpYXQiOjE2NDE4NjU3MzEsImV4cCI6MTY0MTkwMTczMX0.bmqzAkNSZgD8IZxRGGyVlVwGl7EGMtWitvjGD-a5U5c

JWT 使用方式

• 客户端会把 JWT 存储在 localStorage 或 sessionStorage 中
• 此后客户端与服务端通信需要携带 JWT 进行身份认证，将 JWT 存在 HTTP 请求头 Authorization 字段中
• 加上 Bearer 前缀

Authorization: Bearer <token>

Express 使用 JWT

1. 安装并使用require()函数导入

• jsonwebtoken 用于生成 JWT 字符串
• express-jwt 用于将 JWT 字符串解析还原成 JSON 对象

npm install jsonwebtoken express-jwt

2. 定义 secret 密钥

• 为保证 JWT 字符串的安全性，防止其在网络传输过程中被破解，需定义用于加密和解密的 secret 密钥
• 生成 JWT 字符串时，使用密钥加密信息，得到加密好的 JWT 字符串
• 把 JWT 字符串解析还原成 JSON 对象时，使用密钥解密

const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')

// 密钥为任意字符串
const secretKey = 'itheuima No1 ^_^'

3. 生成 JWT 字符串

   调用 jsonwebtoken 包提供的 sign() 方法，将用户的信息加密成 JWT 字符串，响应给客户端

app.post('/api/login', (req, res) => {
  ...
  res.send({
    status: 200,
    message: '登录成功',
    // jwt.sign() 生成 JWT 字符串
    // 参数：用户信息对象、加密密钥、配置对象-token有效期
    // 尽量不保存敏感信息，因此只有用户名，没有密码
    token: jwt.sign({username: userInfo.username}, secretKey, {expiresIn: '30s'})
  })
})

4. JWT 字符串还原为 JSON 对象

• 客户端访问有权限的接口时，需通过请求头的 Authorization 字段，将 Token 字符串发送到服务器进行身份认证
• 服务器可以通过 express-jwt 中间件将客户端发送过来的 Token 解析还原成 JSON 对象

// unless({ path: [/^\/api\//] }) 指定哪些接口无需访问权限
app.use(expressJWT({ secret: secretKey }).unless({ path: [/^\/api\//] }))

5. 获取用户信息

• 当 express-jwt 中间件配置成功后，即可在那些有权限的接口中，使用 req.user 对象，来访问从 JWT 字符串中解析出来的用户信息

// 这是一个有权限的API接口
app.get('/admin/getinfo', (req, res) => {
  console.log(req.user)
  res.send({
    status: 200,
    message: '获取信息成功',
    data: req.user,
  })
})

6. 捕获解析 JWT 失败后产生的错误

• 当使用 express-jwt 解析 Token 字符串时，如果客户端发送过来的 Token 字符串过期或不合法，会产生一个解析失败的错误，影响项目的正常运行
• 通过 Express 的错误中间件，捕获这个错误并进行相关的处理

app.use((err, req, res, next) => {
  if (err.name === 'UnauthorizedError') {
    return res.send({ status: 401, message: 'Invalid token' })
  }
  res.send({ status: 500, message: 'Unknown error' })
})