目录
一.数据库简介
1.概念
数据库(database), 用来组织,存储,管理数据的仓库
2.常见数据库及分类
(1)最常见的数据库
- MySQL 数据库(目前使用最广泛、流行度最高的开源免费数据库; Community + Enterprise)
- Oracle 数据库(收费)
- SQL Server 数据库(收费)
- Mongodb 数据库(Community + Enterprise)
(2)分类
- 传统型数据库(系型数据库或SQL数据库): MySQL,Oracle,SQL Server , 设计理念相同,用法比较类似
- 新型数据库(非关系型数据库或NoSQL 数据库): Mongodb, 一定程度上弥补了传统型数据库的缺陷
3.数据组织结构
(1)传统型数据库中
- ,数据的组织结构分为数据库(database),数据表(table),数据行(row),字段(field)这 4大部分组成
- 字段类似于Excel的列, 每个字段都有对应的数据类型
(2)实际开发中的关系
- 在实际项目开发中,一般情况下,每个项目都对应独立的数据库
- 不同的数据,要存储到数据库的不同表中
- 每个表中具体存储哪些信息,由字段来决定
- 表中的行,代表每一条具体的数据
4.基本使用
(1)创建
DataType 数据类型:
- int 整数
- varchar(len) 字符串
- tinyint(1) 布尔值
字段的特殊标识:
- PK(Primary Key)主键、唯一标识
- NN(Not Null)值不允许为空
- UQ(Unique)值唯一
- AI(Auto Increment)值自动增长
二.SQL管理数据库
1.概念
SQL(Structured Query Language)是结构化查询语言,专门用来访问和处理数据库的编程语言。以编程的形式,操作数据库里面的数据
2.语法
(1)查询数据select
- 查询所有(列) select * from 表名
- 查询指定字段(列) select 列名 from 表名
(2)插入数据insert into
- 插入新的数据行 insert into 表名 (列1,列2...) value (值1, 值2...)
(3)更新数据update
- 修改数据 update 表名 set 列名 = 新值 where 列名 = 某值
(4)删除数据delete
- 删除行 delete from 表名 where 列名 = 值
(5)where条件
WHERE子句用于限定选择的标准
(6)and和or运算符
可在WHERE子语句中把两个或多个条件结合起来
- AND 表示必须同时满足多个条件
- OR 表示只要满足任意一个条件即可
(7)order by排序
用于根据指定的列对结果集进行排序, ORDER BY语句默认按照升序(ASC关键字)对记录进行排序, 降序: DESC关键字
(8)count(*) 函数
- 用于返回查询结果的总数据条数 select count(*) from 表名
- 设置别名 AS关键字
三.项目中操作MySQL
1.操作步骤
- 安装操作MySQL数据库的第三方模块( npm i mysql )
- 配置模块, 通过mysql模块连接到MySQL数据库
- 测试模块, 调用 db.query() 函数
- 通过 mysql 模块执行 SQL 语句
// 1.导入mysql模块
const mysql = require('mysql');
// 2. 配置 建立与数据库的连接关系
const db = mysql.createPool({
host: '127.0.0.1', //数据库的ip地址(本机)
user: 'root', //登录数据库的账号和密码
password: '1111',
database: 'my_db_01' //指定要操作哪个数据库
});
// 3.测试mysql能否正常工作 query()函数 测试语句select 1
db.query('select 1', (err,results) => {
if(err) return console.log(err.message); //报错
console.log(results); //成功 [ RowDataPacket { '1': 1 } ]
})
// 4.mysql模块操作数据库
// 查询users表中所有数据
const sqlStr1 = 'select * from users';
db.query(sqlStr1, (err,results) => {
if(err) return console.log(err.message); //报错
console.log(results); //查询语句执行结果为对象的数组
})
标记删除
- DELETE语句,会把真正的把数据从表中删除掉,保险起见,推荐使用标记删除的形式,模拟删除的动作
- 标记删除: 就是在表中设置类似于status这样的状态字段,来标记当前这条数据是否被删除, 当用户执行了删除的动作时,并没有执行DELETE语句把数据删除掉,而是执行了 UPDATE 语句,将这条数据对应的 status 字段标记为删除即可
四.前后端的身份认证
1.web开发模式
目前主流的 Web 开发模式有两种,分别是:
- 基于服务端渲染的传统 Web 开发模式
- 基于前后端分离的新型 Web 开发模式
(1)服务端渲染
服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用 Ajax 这样的技术额外请求页面的数据
优点:
- 前端耗时少,因为服务器端负责动态生成HTML内容,浏览器只需要直接渲染页面即可。尤其是移动端,更省电
- 有利于SEO。因为服务器端响应的是完整的 HTML 页面内容,所以爬虫更容易爬取获得信息,更有利于 SEO
缺点:
- 占用服务器端资源, 即服务器端完成HTML页面内容的拼接,如果请求较多,会对服务器造成一定的访问压力
- 不利于前后端分离,开发效率低。使用服务器端渲染,则无法进行分工合作,尤其对于前端复杂度高的项目,不利于项目高效开发
(2)前后端分离
- 前后端分离的开发模式,依赖于 Ajax 技术的广泛应用
- 简而言之,前后端分离的 Web 开发模式,就是后端只负责提供API接口,前端使用Ajax调用接口的开发模式
优点:
- 开发体验好。前端专注于 UI 页面的开发,后端专注于api 的开发,且前端有更多的选择性
- 用户体验好。Ajax 技术的广泛应用,极大的提高了用户的体验,可以轻松实现页面的局部刷新
- 减轻了服务器端的渲染压力。因为页面最终是在每个用户的浏览器中生成的
缺点:
不利于SEO。因完整的HTML页面需在客户端动态拼接完成,故爬虫对无法爬取页面的有效信息. (解决方案:利用Vue,React等前端框架的 SSR (server side render)技术能够很好的解决 SEO问题)
(3)选择web开发模式
- 如企业级网站,主要功能是展示而没有复杂的交互,并且需要良好的 SEO,则使用服务器端渲染
- 类似后台管理项目,交互性比较强,不需要考虑 SEO,那么就可以使用前后端分离的开发模式
- 具体使用何种开发模式并不是绝对的,为了同时兼顾了首页的渲染速度和前后端分离的开发效率,一些网站采用了首屏服务器端渲染 + 其他页面前后端分离的开发模式
2.身份认证
(1)概念
- Authentication, 又称“身份验证”、“鉴权”, 是指通过一定的手段,完成对用户身份的确认
- 确认当前所声称为某种身份的用户,确实是所声称的用户
服务端渲染推荐使用 Session认证机制, 前后端分离推荐使用 JWT 认证机制
(2)Session认证机制
HTTP 协议的无状态性
客户端的每次 HTTP请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP请求的状态
突破无状态性: Cookie (类似于现实中会员卡身份身份认证方式)
Cookie
- Cookie是存储在用户浏览器中的一段不超过4 KB的字符串。它由一个名称(Name),一个值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成
- 不同域名下的Cookie各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的Cookie 一同发送到服务器
- Cookie的几大特性: 自动发送, 域名独立, 过期时限, 4KB 限制
作用:
- 客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的 Cookie,客户端会自动将Cookie保存在浏览器中
- 随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份
Cookie不具有安全性
Cookie是存储在浏览器中的,而且浏览器也提供了读写Cookie的API,因此 Cookie很容易被伪造,不具有安全性, 因此不建议服务器将重要的隐私数据,通过Cookie的形式发送给浏览器
提高身份认证的安全性
“会员卡+刷卡认证”的设计理念,就是Session认证机制的精髓(用户出示Cookie,服务器端确认通过才可)
Session工作原理
在 Express中使用Session认证
- 安装express-session中间件
- 配置 express-session 中间件(app.use() 来注册 session 中间件)
- 向session中存数据 (可通过req.session来访问和使用session对象,从而存储用户的关键信息)
- 从session中取数据( 可以直接从 req.session 对象上获取之前存储的数据)
- 清空session (调用req.session.destroy()函数,即可清空服务器保存的当前用户的session 信息)
Session认证的局限性
- Session认证机制需要配合 Cookie 才能实现,由于 Cookie 默认不支持跨域访问,当涉及到前端跨域请求后端接口时,需做很多额外的配置,才能实现跨域Session认证
- 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制
- 当前端需要跨域请求后端接口时,不推荐使用Session身份认证机制,推荐使用JWT认证机制
(3)JWT认证机制
JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案
工作原理
用户的信息通过Token字符串的形式,保存在客户端浏览器中,服务器通过还原Token字符串的形式来认证用户的身份
组成部分
JWT通常由三部分组成: Header(头部),Payload(有效荷载),Signature(签名), 三者间使用“.”分隔
- Payload 部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串
- Header 和 Signature 是安全性相关的部分,只是为了保证 Token 的安全性
使用方式
- 客户端收到服务器返回的JWT后,通常会将它储存在 localStorage 或 sessionStorage 中
- 此后,客户端每次与服务器通信,都要带上这个JWT字符串,从而进行身份认证
- 推荐的做法是把JWT 放在HTTP请求头的Authorization字段中: Authorization: Bearer <token>
在Express中使用JWT
- 安装包 jsonwebtoken(生成JWT 字符串) express-jwt (将JWT字符串解析还原成JSON对象)
- 导入模块 (若下载了最新express-jwt,使用就语法会报错,则const {expressjwt: expressJWT} = require('express-jwt') , 后边注册中间件时secretKey后需加algorithms: ["HS256"])
- 定义secret密钥 (生成JWT 字符串时,使用 secret密钥对用户信息加密,得到加密好的JWT 字符串;JWT 字符串解析还原成JSON对象时,使用secret密钥进行解密)
- 在登录成功后生成JWT字符串 (调用 jsonwebtoken包提供的sign() 方法,将用户的信息加密成JWT 字符串,响应给客户端)
- 将JWT字符串还原为JSON对象 (客户端每次访问有权限接口时,需主动通过请求头中的 Authorization字段,将Token字符串发送到服务器进行身份认证, 服务器可以通过express-jwt这个中间件,自动将客户端发送过来的Token解析还原成JSON对象)
- 使用 req.user 获取用户信息
- 捕获解析 JWT 失败后产生的错误(Token字符串过期或不合法,会产生一个解析失败的错误)
const express = require('express');
const app = express();
// 1.导入模块
const jwt = require('jsonwebtoken');
// 安装了最新版的express-jwt包,用最新语法导入,否则注册中间件时会报错
const {expressjwt: expressJWT} = require('express-jwt')
// 解析post表单数据中间件
const bodyParser = require('body-parser');
app.use(express.urlencoded({extended: false}))
// 2.定义secret密钥
const secretKey = 'mmkey_01'; //任意字符串,越复杂越好
// 4.注册中间件 将JWT字符串还原为 JSON 对象 使用 app.use() 注册将JWT字符串解析还原成JSON对象的中间件 .unless() 方法通过正则表达式 指定哪些接口不需要通过权限
// 配置成功中间件, 就可以将解析出来的用户信息挂载到req.user属性上
app.use(
// 最新版的express-jwt包,加上 , algorithms: ["HS256"]防止报错
expressJWT({secret: secretKey, algorithms: ["HS256"]}).unless({path: [/^\/api\//]})
); // 以/api开头都不需要访问权限
// 3.登录接口
app.post('/api/login', (req,res) => {
// 将请求体中的数据,转存为常量
const userinfo = req.body;
// 登录失败
if(userinfo.username !== 'admin' || userinfo.password !== '000000'){
return res.send({
status: 400,
message: '登录失败!'
})
}
// 登录成功 调用jwt.sign()方法生成JWT字符串,并通过token属性发送给客户端 参数1:用户信息对象 参2:加密密钥 参3:配置对象,可配置当前对象有效期 保证安全性:密码不加入token中
const tokenStr = jwt.sign({username: userinfo.username}, secretKey, {expiresIn: '30s'})
res.send({
status: 200,
message: '登录成功!',
token: tokenStr //发送给客户端的字符串
})
})
// 5. 有权限的api接口 使用 req.user 获取用户信息
app.get('/admin/getinfo',function(req,res){
// 使用req.user获取用户信息, 并使用data属性将用户信息发送给客户端
console.log(req.user);
res.send({
status: 200,
message: '获取用户信息成功!',
data: req.user //发送给客户端的用户信息
})
})
// 6.捕获解析 JWT 失败后产生的错误
app.use((err, req,res,next) => {
if(err.name === 'UnauthorizedError' ){
return res.send({
status: 401,
message: '无效的token'
})
}
res.send({
status: 500,
message: '未知错误!'
})
} )
app.listen(8888,(req,res) => {
console.log('http://127.0.0.1:8888')
})