Node.js(二)

一、数据库和身份认证

1.在项目中操作数据库

• 安装操作MySQL数据库的第三方模块（mysql）
  • npm install mysql
  • 配置mysql模块

• 通过mysql模块连接到MySQL数据库
• 通过mysql模块执行SQL语句

​

// 1.导入mysql模块
const mysql=require('mysql')
// 2.建立与mysql数据库的连接
const db=mysql.createPool({
    host:'127.0.0.1', //数据库的IP地址
    user:'root', //登录数据库的账号
    password:'admin123',//登录数据库的密码
    database:'my_db_01'//指定要操作的数据库名称
})
// 3.执行SQL语句
db.query('select * from users',(err,results)=>{
    // mysql模块工作期间报错了
    if(err) return console.log(err.message);
    // 能够成功的执行SQL语句
    console.log(results);
})

插入数据

// 插入数据
const user={username:'spilt-man',password:'pcc123'}
// 定义待执行的SQL语句，可以使用?表示占位符
const dbsqlstr=`insert into users(username,password) values(?,?)`
// 执行SQL语句
db.query(dbsqlstr,[user.username,user.password],(err,results)=>{
    if(err) return console.log(err.message);
    if(results.affectedRows===1){
        console.log('插入成功');
    }
})

向表中新增数据时，如果数据对象的每一个属性和数据表的字段一一对应，可以快速插入

// 插入数据
const user={username:'spilt-man',password:'pcc123'}
// 定义待执行的SQL语句，可以使用?表示占位符
//const dbsqlstr=`insert into users(username,password) values(?,?)`
const sqlstr=`insert into users set ?`
// 执行SQL语句
db.query(sqlstr,user,(err,results)=>{
    if(err) return console.log(err.message);
    if(results.affectedRows===1){
        console.log('插入成功');
    }
})

更新数据，如果数据对象的每一个属性和数据表的字段一一对应，可以快速更新

// 更新数据
const user={id:6,username:'spilt-man',password:'pcc123'}
const sqlstr='update  users set ? where id=?'
db.query(sqlstr,[user,user.id],(err,results)=>{
        if(err) return console.log(err.message);
        if(results.affectedRows===1){
            console.log('插入成功');
        }
    })

删除数据

// 删除数据
const sqlstr='delete from  users  where id=?'
db.query(sqlstr,7,(err,results)=>{
        if(err) return console.log(err.message);
        if(results.affectedRows===1){
            console.log('删除数据成功');
        }
    })

标记删除

// 标记删除 update语句将status(状态字段)标记为删除即可
const sqlstr='update  users set status=? where id=?'
db.query(sqlstr,[1,6],(err,results)=>{
            if(err) return console.log(err.message);
            if(results.affectedRows===1){
                console.log('更新成功');
            }
        })

2.身份认证

身份认证：通过一定的手段，完成对用户身份的确认

身份认证的目的：确认当前所声称为某种身份的用户，确实是所声称的用户

不同开发模式下的身份认证：

• 服务端渲染推荐使用Session认证机制
• 前后端分离推荐使用JWT认证机制

3.Session认证机制

HTTP协议的无状态性：服务器不会主动保留每次HTTP请求的状态

3.1Cookie

Cookie是存储在用户浏览器中的一段不超过4kb的字符串，它由一个名称、一个值和其他几个用于控制Cookie有效期、安全性、使用范围的可选属性组成

当客户端发送请求时，会自动把当前域名下所有未过期的Cookie一同发送到服务器

Cookie的几大特性：

• 自动发送
• 域名独立
• 过期时限
• 4KB限制

Cookie在身份认证中的作用：客户端第一次发送请求服务器的时候，服务器通过响应头的形式，向客户端发送一个身份认证的Cookie，客户端会自动将Cookie保持在浏览器中

随后，当客户端浏览器每次请求服务器的时候，浏览器会自动将身份认证相关的Cookie，通过请求头的形式发送给服务器，服务器即可验明客户端的身份

 4.在express中使用Session认证

• 按照express-session中间件
• 配置express-session中间件    

// 导入session中间件
var session=require('express-session')
// 配置session中间件
app.use(session({
    secret:'keyboard cat',
    resave:false,
    saveUninitialized:true
}))

向session中存数据

// 将用户登录成功后的用户信息,保存到Session中
    req.session.user=req.body //用户的信息
    req.session.islogin=true //用户的登录状态

从session中取数据

app.get('/api/username',(req,res)=>{
    if(!req.session.islogin){
        return res.send({status:1,msg:'fail'})
    }
    res.send({status:0,msg:'success',username:req.session.user.username})
})

清空session

req.session.destroy()

5.JWT认证机制

跨域请求接口的时候，推荐使用JWT认证机制

用户的信息通过 Token 字符串的形式，保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份

• JWT的组成部分：
  • JWT通常由3部分组成，分别是header（头部）、payload（有效载荷）、Signature（签名），三者之间使用英文的‘.’分隔，格式如下：
  •  header、Signature是安全相关的部分，只是为了保证Token的安全性
  • payload部分是真正的用户信息，加密后的
• JWT的使用方式

  • 客户端收到服务器返回的 JWT 之后，通常会将它储存在 localStorage 或 sessionStorage 中

  • 客户端每次与服务器通信，都要带上这个 JWT 的字符串，从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中

• 在express中使用JWT

  • 安装相关包

    
    • jsonwebtoken 用于 生成 JWT 字符串
    • express- jwt 用于 将 JWT 字符串解析还原成 JSON 对象
  • 导入相关包
    • const jwt=require('jsonwebtoken')
    • const expressJWT=require('express-jwt')
  • 定义secret密钥

    • 为了保证 JWT 字符串的安全性，防止 JWT 字符串在网络传输过程中被别人破解，我们需要专门定义一个用于加密和解密的 secret 密钥：

    • ①当生成 JWT 字符串的时候，需要使用 secret 密钥对用户的信息进行加密，最终得到加密好的 JWT 字符串

    • ②当把 JWT 字符串解析还原成 JSON 对象的时候，需要使用 secret 密钥进行解密

const secretkey='itma no1'

• 在登录成功后生成JWT字符串，调用 jsonwebtoken 包提供的 sign() 方法，将用户的信息加密成 JWT 字符串，响应给客户端

const jwt=require('jsonwebtoken')
const expressJWT=require('express-jwt')
const secretkey='itma no1'
app.post('/api/login',(req,res)=>{
    const userinfo=req.body
    if(req.body.username!=='admin' || req.body.password!=='000000'){
        return res.send({status:1,msg:'登录失败'})
    }
    //登录成功
    // 参数1：用户的信息对象
    // 参数2：加密的密钥
    // 参数3：配置对象，可以配置当前token的有效期
    const tokenstr=jwt.sign({username:userinfo.username},secretkey,{expiresIn:'30s'})
    res.send({
        status:200,
        message:'登录成功',
        token:tokenstr//要发送给客户端的token字符串
    })
})

• 将JWT字符串还原为JSON对象，
  • 客户端每次在访问那些有权限接口的时候，都需要主动通过请求头中的 Authorization 字段，将 Token 字符串发送到服务器进行身份认证。
  • 服务器可以通过 express-jwt 这个中间件，自动将客户端发送过来的 Token 解析还原成 JSON 对象

app.use(expressJWT({secret:secretkey}).unless({path:[/^\/api\//]}))

• 使用req.user获取用户信息
  • express-jwt 这个中间件配置成功之后，即可在那些有权限的接口中，使用 req.user 对象，来访问从 JWT 字符串中解析出来的用户信息了

• 捕获解析JWT失败后产生的错误
  • 当使用 express-jwt 解析 Token 字符串时，如果客户端发送过来的 Token 字符串过期或不合法，会产生一个解析失败的错误，影响项目的正常运行。我们可以通过 Express 的错误中间件，捕获这个错误并进行相关的处理