一、数据库和身份认证
1.在项目中操作数据库
- 安装操作MySQL数据库的第三方模块(mysql)
- npm install mysql
- 配置mysql模块
- 通过mysql模块连接到MySQL数据库
- 通过mysql模块执行SQL语句
// 1.导入mysql模块
const mysql=require('mysql')
// 2.建立与mysql数据库的连接
const db=mysql.createPool({
host:'127.0.0.1', //数据库的IP地址
user:'root', //登录数据库的账号
password:'admin123',//登录数据库的密码
database:'my_db_01'//指定要操作的数据库名称
})
// 3.执行SQL语句
db.query('select * from users',(err,results)=>{
// mysql模块工作期间报错了
if(err) return console.log(err.message);
// 能够成功的执行SQL语句
console.log(results);
})
插入数据
// 插入数据
const user={username:'spilt-man',password:'pcc123'}
// 定义待执行的SQL语句,可以使用?表示占位符
const dbsqlstr=`insert into users(username,password) values(?,?)`
// 执行SQL语句
db.query(dbsqlstr,[user.username,user.password],(err,results)=>{
if(err) return console.log(err.message);
if(results.affectedRows===1){
console.log('插入成功');
}
})
向表中新增数据时,如果数据对象的每一个属性和数据表的字段一一对应,可以快速插入
// 插入数据
const user={username:'spilt-man',password:'pcc123'}
// 定义待执行的SQL语句,可以使用?表示占位符
//const dbsqlstr=`insert into users(username,password) values(?,?)`
const sqlstr=`insert into users set ?`
// 执行SQL语句
db.query(sqlstr,user,(err,results)=>{
if(err) return console.log(err.message);
if(results.affectedRows===1){
console.log('插入成功');
}
})
更新数据,如果数据对象的每一个属性和数据表的字段一一对应,可以快速更新
// 更新数据
const user={id:6,username:'spilt-man',password:'pcc123'}
const sqlstr='update users set ? where id=?'
db.query(sqlstr,[user,user.id],(err,results)=>{
if(err) return console.log(err.message);
if(results.affectedRows===1){
console.log('插入成功');
}
})
删除数据
// 删除数据
const sqlstr='delete from users where id=?'
db.query(sqlstr,7,(err,results)=>{
if(err) return console.log(err.message);
if(results.affectedRows===1){
console.log('删除数据成功');
}
})
标记删除
// 标记删除 update语句将status(状态字段)标记为删除即可
const sqlstr='update users set status=? where id=?'
db.query(sqlstr,[1,6],(err,results)=>{
if(err) return console.log(err.message);
if(results.affectedRows===1){
console.log('更新成功');
}
})
2.身份认证
身份认证:通过一定的手段,完成对用户身份的确认
身份认证的目的:确认当前所声称为某种身份的用户,确实是所声称的用户
不同开发模式下的身份认证:
- 服务端渲染推荐使用Session认证机制
- 前后端分离推荐使用JWT认证机制
3.Session认证机制
HTTP协议的无状态性:服务器不会主动保留每次HTTP请求的状态
3.1Cookie
Cookie是存储在用户浏览器中的一段不超过4kb的字符串,它由一个名称、一个值和其他几个用于控制Cookie有效期、安全性、使用范围的可选属性组成
当客户端发送请求时,会自动把当前域名下所有未过期的Cookie一同发送到服务器
Cookie的几大特性:
- 自动发送
- 域名独立
- 过期时限
- 4KB限制
Cookie在身份认证中的作用:客户端第一次发送请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的Cookie,客户端会自动将Cookie保持在浏览器中
随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份
4.在express中使用Session认证
- 按照express-session中间件
- 配置express-session中间件
// 导入session中间件
var session=require('express-session')
// 配置session中间件
app.use(session({
secret:'keyboard cat',
resave:false,
saveUninitialized:true
}))
向session中存数据
// 将用户登录成功后的用户信息,保存到Session中
req.session.user=req.body //用户的信息
req.session.islogin=true //用户的登录状态
从session中取数据
app.get('/api/username',(req,res)=>{
if(!req.session.islogin){
return res.send({status:1,msg:'fail'})
}
res.send({status:0,msg:'success',username:req.session.user.username})
})
清空session
req.session.destroy()
5.JWT认证机制
跨域请求接口的时候,推荐使用JWT认证机制
用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份
- JWT的组成部分:
- JWT通常由3部分组成,分别是header(头部)、payload(有效载荷)、Signature(签名),三者之间使用英文的‘.’分隔,格式如下:
- header、Signature是安全相关的部分,只是为了保证Token的安全性
- payload部分是真正的用户信息,加密后的
- JWT通常由3部分组成,分别是header(头部)、payload(有效载荷)、Signature(签名),三者之间使用英文的‘.’分隔,格式如下:
- JWT的使用方式
-
客户端收到服务器返回的 JWT 之后,通常会将它储存在 localStorage 或 sessionStorage 中
-
客户端每次与服务器通信,都要带上这个 JWT 的字符串,从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中
-
-
在express中使用JWT
-
安装相关包
-
jsonwebtoken 用于 生成 JWT 字符串
-
express- jwt 用于 将 JWT 字符串解析还原成 JSON 对象
-
- 导入相关包
- const jwt=require('jsonwebtoken')
- const expressJWT=require('express-jwt')
- 定义secret密钥
-
为了保证 JWT 字符串的安全性,防止 JWT 字符串在网络传输过程中被别人破解,我们需要专门定义一个用于加密和解密的 secret 密钥:
-
①当生成 JWT 字符串的时候,需要使用 secret 密钥对用户的信息进行加密,最终得到加密好的 JWT 字符串
-
②当把 JWT 字符串解析还原成 JSON 对象的时候,需要使用 secret 密钥进行解密
-
-
const secretkey='itma no1'
- 在登录成功后生成JWT字符串,调用 jsonwebtoken 包提供的 sign() 方法,将用户的信息加密成 JWT 字符串,响应给客户端
const jwt=require('jsonwebtoken')
const expressJWT=require('express-jwt')
const secretkey='itma no1'
app.post('/api/login',(req,res)=>{
const userinfo=req.body
if(req.body.username!=='admin' || req.body.password!=='000000'){
return res.send({status:1,msg:'登录失败'})
}
//登录成功
// 参数1:用户的信息对象
// 参数2:加密的密钥
// 参数3:配置对象,可以配置当前token的有效期
const tokenstr=jwt.sign({username:userinfo.username},secretkey,{expiresIn:'30s'})
res.send({
status:200,
message:'登录成功',
token:tokenstr//要发送给客户端的token字符串
})
})
- 将JWT字符串还原为JSON对象,
- 客户端每次在访问那些有权限接口的时候,都需要主动通过请求头中的 Authorization 字段,将 Token 字符串发送到服务器进行身份认证。
- 服务器可以通过 express-jwt 这个中间件,自动将客户端发送过来的 Token 解析还原成 JSON 对象
app.use(expressJWT({secret:secretkey}).unless({path:[/^\/api\//]}))
- 使用req.user获取用户信息
- express-jwt 这个中间件配置成功之后,即可在那些有权限的接口中,使用 req.user 对象,来访问从 JWT 字符串中解析出来的用户信息了
- 捕获解析JWT失败后产生的错误
- 当使用 express-jwt 解析 Token 字符串时,如果客户端发送过来的 Token 字符串过期或不合法,会产生一个解析失败的错误,影响项目的正常运行。我们可以通过 Express 的错误中间件,捕获这个错误并进行相关的处理