Node.js框架Express与MySQL数据库的学习笔记

一、数据库的基本概念

1、什么是数据库

数据库（database）是用来组织、存储和管理数据的仓库。

2、常见的数据库及分类

        常见的数据库有：MySQL 数据库、Oracle 数据库（收费）、SQL Server 数据库（收费）、Mongodb 数据库。

        其中，MySQL、Oracle、SQL Server 属于传统型数据库（又叫关系型数据库），而 Mongodb 数据库属于新型数据库（又叫非关系型数据库），它在一定程度上弥补了传统数据库的缺陷。

二、SQL 语句的基本句法

1、SELECT 语句

select * from 表名

其中，* 代表选取所有的列。

或：

select 列名称 from 表名

注意：多个列名称之间，使用英文逗号进行分隔。

2、INSERT INTO 语句

        该语句用于向数据表中插入新的数据行，语法格式：

insert into table_name (列1,列2,...) values (值1,值2,...)

3、UPDATE 语句

        该语句用于修改表中的数据。语法格式：

update 表名 set 列名称 = 新值 where 列名称 = 某值

4、DELETE 语句

该语句用于删除表中的行。语法格式：

delete from 表名 where 列名称 = 某值

5、WHERE 子句

        该语句可用在查询、更新、删除操作中。

6、AND 和 OR 运算符

        AND 表示同时满足多个条件，而 OR 表示只要满足任意一个条件即可。

例：

select * from users where id < 3 and username = 'zs'

select * from users where id < 2 or username='tony stark'

7、ORDER BY 子句

        该语句用于根据指定的列对结果集进行排序，默认按照升序对记录进行排序，若要按照降序对记录进行排序，可以使用 DESC 关键字。

例：

-- 升序 -- 
select * from users order by status
-- 降序 -- 
select * from users order by status desc

8、ORDER BY 子句-多重排序

select * from users order by status desc, username asc
--asc说明是升序排序--

9、COUNT(*) 函数

        该函数用于返回结果的总数据条数，语法格式：

select count(*) from 表名

10、使用 AS 为列设置别名

select count(*) AS total from users

 三、在 Express 项目中操作 MySQL

1、安装 MySQL 模块

        MySQL 模块是托管于 npm 上的第三方模块。它提供了在 Node.js 项目中连接和操作 MySQL 数据库的能力。

npm install mysql

 2、配置和测试 MySQL 模块

// 1、导入数据库模块
const mysql = require('mysql')
// 2、建立于 MySQL 数据库的连接
const db = mysql.createPool({
  host:'127.0.0.1',      // 数据库的 IP 地址
  user:'root',            // 登录数据库的账号
  password:'admin123',   // 登录数据库的密码
  database:'my_db_01'    // 指定要操作的数据库
})

// 3、测试 MySQL 模块
db.query('select 1', (err, results) => {
  // 报错
  if(err) return console.log(err.message)
  // 能够正常执行 sql 语句
  console.log(results)
})

若执行结果为：[ RowDataPacket { '1': 1 } ]

则表示连接成功。

3、查询数据

// 查询信息
const sqlStr = 'select * from users'
db.query(sqlStr, (err, results) => {
  // 查询失败
  if(err) return console.log(err.message)
  // 查询成功
  console.log(results)
})

4、插入数据

// 插入数据
// 向 users 表中插入数据：用户名为zhangwu,密码为：abc321
const user = { username: 'zhangwu', password: 'abc321'}
// 定义 sql 语句,其中英文状态下的 ? 为占位符
const sqlStr = 'insert into users (username, password) values (?, ?)'
db.query(sqlStr,[user.username, user.password], (err, results) => {
  // 插入数据失败
  if(err) return console.log(err.message)
  // 插入数据成功，其中 results 是一个对象
  // 可以通过该对象中的 affectedRows 属性判断是否插入数据成功
  if(results.affectedRows === 1){
    console.log('插入数据成功！')
  }
})

注意：插入数据的便捷方式：

// 插入数据的便捷方式
const user = { username: 'zhangwu2', password: 'abc987'}
// 定义 sql 语句
const sqlStr = 'insert into users set ?'
db.query(sqlStr,user, (err, results) => {
  if(err) return console.log(err.message)
  if(results.affectedRows === 1){
    console.log('插入数据成功！')
  }
})

5、更新数据

// 更新数据
const user = { id: 6, username: 'aaa', password: '000'}
// 定义 sql 语句
const sqlStr = 'update users set username=?, password=? where id=?'
db.query(sqlStr, [user.username, user.password, user.id], (err, results) => {
  // 更新数据失败
  if(err) return console.log(err.message)
  // 更新数据成功
  if(results.affectedRows === 1){
    console.log('更新数据成功！')
  }
})

注意：更新数据的便捷方式：

// 更新数据的便捷方式
const user = { id: 6, username: 'bbb', password: '111'}
// 定义 sql 语句
const sqlStr = 'update users set ? where id=?'
db.query(sqlStr, [user, user.id], (err, results) => {
  if(err) return console.log(err.message)
  if(results.affectedRows === 1){
    console.log('更新数据成功！')
  }
})

6、删除数据

// 删除 id为5 的数据
// 定义 sql 语句
const sqlStr = 'delete from users where id=?'
db.query(sqlStr, 5, (err, results) => {
  if(err) return console.log(err.message)
  if(results.affectedRows === 1){
    console.log('删除数据成功！')
  }
})

7、标记删除

        使用 DELETE 语句，会真正的把数据从表中删除。为了保险起见，可以使用标记删除的形式，来模拟删除动作。例如当用户执行了删除操作，并没有执行 DELETE 语句，而是执行了 UPDATE 语句，将这条数据对应的 status 字段标记为删除即可。

// 标记删除
const sqlStr = 'update users set status=? where id=?'
db.query(sqlStr, [1, 6], (err, results) => {
  if(err) return console.log(err.message)
  if(results.affectedRows === 1){
    console.log('标记删除数据成功！')
  }
})

四、Web 开发模式

1、服务端渲染的 Web 开发模式

        服务端渲染的概念：服务端发送给客户端的 HTML 页面，是在服务器通过字符的拼接，动态生成的。因此，客户端不需要用到 Ajax 技术请求页面的数据。

优点：前端耗时少；有利于 SEO 。

缺点：占用服务器资源；不利于前后端分离，开发效率低。

2、 前后端分离的 Web 开发模式

        后端只负责提供 API 接口，前端使用 Ajax 调用接口的开发模式。

优点：开发体验好；用户体验好；减轻了服务端的渲染压力。

缺点：不利于SEO。

五、Session 认证机制

1、什么是身份认证？

        身份认证是指通过一定的手段，完成对用户身份的确认。例如手机验证码认证等。

2、不同开发模式下的身份认证

        服务端渲染推荐使用 Session 认证机制；前后端分离推荐使用 JWT 认证机制。

3、Session 认证机制的原理

        Cookie 是存储在用户浏览器中的一段不超过 4KB 的字符串，由一个名称、一个值和其它几个用于控制 Cookie 有效性、安全性、使用范围性的可选性属性。Cookie 拥有自动发送、域名独立、过期时限、4 KB 限制这四个特性。不同域名下的 Cookie 各自独立，每当客户端发起请求时，会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。

        客户端第一次请求服务器时，服务器通过响应头的形式，向客户端发送一个身份认证的 Cookie ，客户端会自动将 Cookie 保存在浏览器中。随后，当客户端浏览器每次请求服务器时，浏览器会自动将身份认证相关的 Cookie ，通过请求头的形式发送给服务器，服务器即可验明客户端的身份。

        由于 Cookie 时存储在浏览器中的，而且浏览器也提供了读写 Cookie 的 API ，因此 Cookie 很容易被伪造，不具有安全性。因此不建议服务器将重要的隐私数据，通过 Cookie 的形式发送到浏览器。

4、在 Express 中使用 Session 认证

（1）安装 express-session 中间件

npm install express-session

（2）配置中间件：

// 导入 express 模块
const express = require('express')
// 创建 express 的服务器实例
const app = express()

// 配置 Session 中间件
const session = require('express-session')
app.use(
  session({
    secret: 'keybord cat',           //secret 属性的值可以为任意字符串
    resave: false,                   //固定写法
    saveUninitialized: true,         //固定写法
  })
)

（3）向 session 中存数据

        当 express-session 中间件配置成功后，可以通过 req.session 来访问和使用 session 对象，从而存储用户的关键信息。

// 登录的 API 接口
app.post('/api/login', (req, res) => {
  // 判断用户提交的登录信息是否正确
  if (req.body.username !== 'admin' || req.body.password !== '000000') {
    return res.send({ status: 1, msg: '登录失败' })
  }

  // 将登录成功后的用户信息，保存到 Session 中
  // 注意：只有成功配置了 express-session 这个中间件之后，才能够通过 req 点出来 session 这个属性
  req.session.user = req.body // 用户的信息
  req.session.islogin = true // 用户的登录状态

  res.send({ status: 0, msg: '登录成功' })
})

（4）从 session 中取数据

// 获取用户姓名的接口
app.get('/api/username', (req, res) => {
  // 从 Session 中获取用户的名称，响应给客户端
  if (!req.session.islogin) {
    return res.send({ status: 1, msg: 'fail' })
  }
  res.send({
    status: 0,
    msg: 'success',
    username: req.session.user.username,
  })
})

（5）清空 session

// 退出登录的接口
app.post('/api/logout', (req, res) => {
  // TODO_04：清空 Session 信息
  req.session.destroy()
  res.send({
    status: 0,
    msg: '退出登录成功',
  })
})

（6）session 认证的局限性

        Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问，所以当涉及到前端跨域请求后端接口时，需要做很多额外的配置，才能实现跨域 Session 认证。

六、JWT 认证机制

        JWT 是目前最流行的跨域认证解决方案。JWT 通常由三部分组成，分别是 Header （头部）、Payload (有效核载)、Signature （签名）。三者之间使用英文的“ . ”分隔。其中，Payload 部分才是真正的用户信息，它是用户信息经过加密之后生成的字符串。Header 和 Signature 是安全性相关的部分，只是为了保证 Token 的安全性。

1、JWT 的使用方式

        客户端收到服务器返回的 JWT 之后，通常会将它存储在 localStorage 或 sessionStorage 中。此后，客户端每次于服务器通信，都要带上这个 JWT 的字符串，从而进行身份认证。推荐做法是把 JWT 放在 HTTP 的请求头的 Authorization 字段中。

２、在 Express 使用 JWT

1、安装两个 JWT 相关的包:

npm install jsonwebtoken express-jwt

其中, jsonwebtoken 用于生成 JWT 字符串; express-jwt 用于 JWT 字符串解析还原成 JSON 对象.

2、导入 JWT 相关的包

// 导入 express 模块
const express = require('express')
// 创建 express 的服务器实例
const app = express()

// 安装并导入 JWT 相关的两个包，分别是 jsonwebtoken 和 express-jwt
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')

// 调用 app.listen 方法，指定端口号并启动web服务器
app.listen(8888, function () {
  console.log('Express server running at http://127.0.0.1:8888')
})

3、定义 secret 密钥

        当生成 JWT 字符串时，需要使用 secret 密钥对用户的信息进行加密，最终得到加密好的 JWT 字符串。当把 JWT 字符串解析还原成 JSON 对象时，需要使用 secret 密钥进行解密。

// 定义 secret 密钥，建议将密钥命名为 secretKey
const secretKey = 'hahahaha No1 ^_^'

// 注册将 JWT 字符串解析还原成 JSON 对象的中间件
// 注意：只要配置成功了 express-jwt 这个中间件，就可以把解析出来的用户信息，挂载到 req.user 属性上
app.use(expressJWT({ secret: secretKey }).unless({ path: [/^\/api\//] }))

4、登录成功后生成 JWT 字符串

// 登录接口
app.post('/api/login', function (req, res) {
  // 将 req.body 请求体中的数据，转存为 userinfo 常量
  const userinfo = req.body
  // 登录失败
  if (userinfo.username !== 'admin' || userinfo.password !== '000000') {
    return res.send({
      status: 400,
      message: '登录失败！',
    })
  }
  // 登录成功
  // 在登录成功之后，调用 jwt.sign() 方法生成 JWT 字符串。并通过 token 属性发送给客户端
  // 参数1：用户的信息对象
  // 参数2：加密的秘钥
  // 参数3：配置对象，可以配置当前 token 的有效期
  // 记住：千万不要把密码加密到 token 字符中
  const tokenStr = jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: '30s' })
  res.send({
    status: 200,
    message: '登录成功！',
    token: tokenStr, // 要发送给客户端的 token 字符串
  })
})

5、使用 req.user 获取用户信息

        当 express-jwt 这个中间件配置成功之后，即可在那些有权限的接口中，使用 req.user 对象来访问从 JWT 字符串中解析出来的用户信息了。

// 这是一个有权限的 API 接口
app.get('/admin/getinfo', function (req, res) {
  // 使用 req.user 获取用户信息，并使用 data 属性将用户信息发送给客户端
  console.log(req.user)
  res.send({
    status: 200,
    message: '获取用户信息成功！',
    data: req.user, // 要发送给客户端的用户信息
  })
})

6、捕获解析 JWT 失败后产生的错误

        当使用 express-jwt 解析 Token 字符串时，如果客户端发送过来的 Token 字符串过期或不合法，会产生一个解析错误。

// 使用全局错误处理中间件，捕获解析 JWT 失败后产生的错误
app.use((err, req, res, next) => {
  // 这次错误是由 token 解析失败导致的
  if (err.name === 'UnauthorizedError') {
    return res.send({
      status: 401,
      message: '无效的token',
    })
  }
  res.send({
    status: 500,
    message: '未知的错误',
  })
})

......