能够知道如何配置MySQL数据库环境
能够认识并使用常见的SQL语句操作数据库
能够在Express中操作数据库
能够了解Session实现原理
能够了解JWT的实现原理
1.数据库的基本概念
1.1 什么是数据库
数据库是用来组织、存储和管理数据的仓库
当今世界是一个充满着数据的互联网世界,充斥着大量的数据。数据的来源有很多
为了方便管理互联网世界中的数据。就有了数据库管理系统的概念
用户可以对数据库中的数据进行新增、查询、更新、删除等操作。
1.2 常见的数据库及分类
市面上的数据库有很多种,最常见的数据库有如下几种
MySQL数据库(目前使用最广泛,流行度最高的开源免费数据库 (Community+Enterprise)
Oracle数据库(收费)
SQL Server数据库(收费)
Mongodb数据库(Community+Enterprise)
MySQL Oracle SQLServer属于传统型数据库 这三者设计理念相同,用法比较类似
Mongodb属于新型数据库 它在一定程度上弥补了传统型数据库的缺陷
1.3闯天下数据库的数据组织结构
数据的组织结构:指的就说数据以什么样的结构进行存储
统型数据库与Excel中的数据的组织结构比较类似
1 Excel的数据组织结构
每个Excel中,数据的组织结构分别为工作薄,工作表,数据行,列这4大部分组成
整个Excel叫做工作薄
user和books是工作表
user工作表中有3行数据
每行数据由6列信息组成
每列信息都有对应的数据类型
2.传统型数据库的数据组织结构
在传统型数据库中,数据的组织结构分为数据库、数据表、数据行、字段这4部分
数据库类似于Excel的工作薄
数据表类似于Excel的工作表
数据行类似于Excel的每一行数据
字段类似于Excel的列
每个字段都有对应的数据类型
3.实际开发中库、表、行、字的关系
1 在实际项目开发中,一般情况下,么个项目都对应独立的数据库
2 不同的数据,要存储到数据库的不同表中,例如用户数据存储到user表中,图书数据存储到books表中
3 每个表中具体存储哪些信息,由字段来决定,例如:我们可以为user设计id username password
4 表中的行,代表每一天具体的数据
2.安装并配置MySQL
2.1了解需要安装哪些MySQL相关的软件
对于开发人员来说,只需要安装MySQL Server和MySQL Workbench这两个软件,就能满足开发的需要了
MySQL Server:专门用来提供数据存储和服务的软件
MySQL Workbench:可视化的MySQL管理工具,通过它,可以方便的操作存储在MySQL Server中的数据
3.MySQL的基本使用
3.1使用MySQL Workbench 管理数据库
1.连接数据库
输入密码
2.了解主界面的组成部分
3.创建数据库
4.创建数据表
Data Type类型
1 int 整数 2 varchar(len) 字符串 3 tinyint 布尔值
PK 主键 唯一标识
NN 值不允许为空
UQ 值唯一
AI 值自动增长
5.向表中写入数据
3.2使用SQL管理数据库
1.什么是SQL
SQL是结构化查询语言,专门用来访问和处理数据库的编程语言。
我们以编程的形式,操作数据库里面的数据
三个关键点:
1 SQL是一门数据库编程语言
2 使用SQL语言编写出来的代码叫做SQL语言
3 SQL语言只能在关系型数据库中使用(ySQL Oracle SQLServer)
非关系型数据库(Mongodb) 不支持SQL语言
2.SQL能做什么
1 从数据库中查询数据
2 向数据库中插入新的数据
3 更新数据库中的数据
4 从数据库删除数据
5 可以创建新数据库
6 可在数控中创建新表
7可在数据库中创建存储过程 视图
8 etc
3.SQL的学习目标
查询数据(select) 插入数据(insert into) 更新数据(update) 删除数据(delete)
额外需要掌握的4种SQL语法:
where条件 and和or运算符 order by排序 count(*)函数
3.3 SQL的SELECT语句
1.语法
SELECT语句用于从表中查询数据。执行的结果被存储一个结果表中。
从FORM指定[表中] 查询出[所有的]数据 *表示[所有列]
SELECT * FROM 表名称
从FROM指定的[表中],查询出指定 列名称
SELECT 列名称 FROM 表名称
注意:
SQL语句的关键字对大小写不敏感.SELECT等效于select FROM等效于from
2.SELECT * 示例
user表种选取所有的列,可以使用符号*取代列的名称
SELECT * FROM `users`
3.SELECT 列名称 示例
如需获取名为username和password的列的内容(从名为`users`的数据库表)
注释格式 -- 空格
3.4 SQL的INSERT INTO语句INSERT INTO语句用于向数据表中插入新的数据行
向指定的表种,插入如下几列数据库,列的值通过value
注意: 列和值要--对应,多尔列和多个值之间 用英文逗号
INSERT INTO table_name(列1,列2)value(值1,值2)
3.5 SQL的UPDATE语句Update语句用于修改表中的数据。
1 用Update指定要更新哪个表中的数据
2 用SET指定列对应的新值
3 用WHERE指定更新的条件
UPDATE 表名称 SET 列名称 = 新的值 WHERE 列名称 = 某值
3.UPDATE示例 更新某一行中的若干行
把users表中id为2的用户密码和用户状态,分别更新admin123和1
update users set password='admin123',status=1 where id=2
3. SQL的DELETE语句
DELETE语句用于删除表中的行
从指定的表中 根据WHERE 条件,删除对应的数据行
DELETE FROM 表名称 WHERE 列名称 = 值
从 users 表中 删除id为4的用户
3.7 SQL的WHERE 子句
查询语句中的WHERE 条件
SELECT 列名称 FROM 表名称 WHERE 列 运算符 值
更新语句中的WHERE 条件
UPDATE 表名称 SET 列=新的值 WHERE 列 运算符 值
删除语句中的WHERE 条件
DELETE FROM 表名称 WHERE 列 运算符 值
2. 可以在WHERE子句中使用的运算符
= 等于
<> 不等于
!= 不等于
> 大于
< 小于
>= 大于等于
<= 小于等于
BETWEEN 在某个范围内
LIKE 搜索某种模式
3. WHERE子句示例
select * from `users` where status=1
select * from users where id>2
SELECT * FROM users WHERE username<>'ls'
3.8 SQL的AND和OR运算符
AND和OR可以在WHERE子句中把两个或多个条件结合起来
AND表示必须同时满足多个条件,相对于javaScript中的运算符&&
例如 if(a!==10&&a!=20)
OR表示只要满足任意一个条件即可 相对于javaScript中的运算符||
例如if(a!==10||a!=20)
2.AND运算符示例
使用AND来显示所有status为0 并且id小于3的用户
SELECT * FROM users WHERE STATUS=0 AND id<3
3.OR运算符示例
使用OR来显示所有status为1 并且username为zs的用户
3.9 SQL的 ORDER BY子句
ORDER BY用于根据指定的列对结构集进行排序
ORDER BY默认按照升序对纪录进行排序
如果希望按照降序进行排序 使用DESC关键字
1.ORDER BY子句 升序排序
对users表中的数据 按照status字段进行升序
select * from users order by status ASC
注意:ASC可以省略
2.ORDER BY子句 降序排序
对users表中的数据,按照id字段进行降序排序
4.ORDER BY子句 多重排序
对users表中的数据 按照status字段进行降序 再按照username的字母顺序 进行升序排序
3.10 SQL的COUNT(*)函数
COUNST(*)函数用于返回查询结构的总数据条数
SELECT COUNT(*) FROM 表名称
查询users表中status为0的总数据条数
3.11 SQL的AS关键字
如果希望给查询出来的列名称设置别名 可以使用AS关键字
4.在项目中操作MySQL
4.1在项目中操作数据库的步骤
1 安装操作数据库的第三方模块(mysql)
2 通过mysql模块连接到数据库
3 通过mysql模块执行SQL语句
4.2 安装于配置mysql模块
1.安装mysql模块
mysql模块是托管于npm上的第三方模块 它提供了在node项目中连接和操作MySQL数据库的能力
想要在项目中使用它 需要先运行如下命令 将mysql安装为项目的依赖包
npm intall mysql
2.配置mysql模块
在使用mysql模块操作MySQL数据库之前,必须先对mysql模块进行必要的配置
// 1.导入mysql模块
const mysql = require('mysql')
// 2.建立与数据库的连接关系
const db = mysql.createPool({
host: '127.0.0.1',//数据库IP地址
user: 'root', //登录数据库的账号
passwor: 'ad', //登录数据库的账号
database: 'my_db_01'//指定要操作哪个数据库
})
3.测试mysql模块能否正常工作
调用db.query()函数 指定要执行的SQL语句 通过回调函数拿到执行的结果
db.query('select 1', (err, results) => {
if (err) return console.log(err.message);
// 能够执行SQL语句
console.log(results);
})
[ RowDataPacket { '1': 1 } ]
4.3 使用mysql模块操作MySQL数据库
1. 查询数据
查询users表中所有的数据:
const sqlStra = 'select * from users'
db.query(sqlStra, (err, results) => {
// 查询数据失败
if (err) return console.log(err.message)
// 能够执行SQL语句
console.log(results)
})
2 插入数据
向users 表中新增数据 其中username为Spider-Man password为pcc321
// 向users 表中新增数据 其中username为Spider-Man password为pcc321
const user = { username: 'Spider-Man', password: 'pcc123' }
// 定义待执行的SQL语句
const sqlStr = 'insert into users (username,password) values (?,?)'
// 执行SQL语句 ?其中英文的占位符
// 使用数组的形式,依次为?占位符指定具体的值
db.query(sqlStr, [user.username, user.password], (err, results) => {
// 失败了
if (err) return console.log(err.message);
// 成功了
// affectedRows判断是否插入数据成功
if (results.affectedRows === 1) {
console.log('插入数据成功');
}
})
3.插入数据便捷方式
向表中新增数据时,如果数据对象的每个属性和数据包的字段--对应.
则可以通过如下方式快速插入数据:
const user = { username: 'Spider-Man2', password: 'pcc1231' }
// 定义待执行的SQL语句
const sqlStr = 'insert into users set ?'
// 执行SQL语句 ?其中英文的占位符
// 使用数组的形式,依次为?占位符指定具体的值
db.query(sqlStr, user, (err, results) => {
// 失败了
if (err) return console.log(err.message);
// 成功了
// affectedRows判断是否插入数据成功
if (results.affectedRows === 1) {
console.log('插入数据成功');
}
})
4.更新数据
更新表中的数据
// 演示如何更新用户信息
const user = { id: 6, username: 'aaa', password: '000' }
// 定义SQL语句
const sqlStr = 'update users set username=?,password=? where id=?'
// 执行SQL语句
db.query(sqlStr, [user.username, user.password, user.id], (err, results) => {
if (err) return console.log(err.message);
//注意:执行了update语句之后 执行的结果 也是一个对象 通过affectedRows判断是否更新成功
if (results.affectedRows === 1) {
console.log('更新成功');
}
})
5.更新数据的便捷方式
const user = { id: 6, username: 'aaaa', password: '0001' }
const sqlStr = 'update users set? where id=?'
db.query(sqlStr, [user, user.id], (err, results) => {
if (err) return console.log(err.message);
if (results.affectedRows === 1) {
console.log('更新数据');
}
})
6.删除数据
在删除数据时,推荐根据id这样的唯一标识,来删除对应的数据
const sqlStr = 'delete from users where id=?'
db.query(sqlStr, 5, (err, results) => {
if (err) return console.log(err.message);
//注意:执行了delete语句之后 执行的结果 也是一个对象 通过affectedRows判断是否更新成功
//如果SQL语句中由多个占位符,则必须使用数组为每个占位符指定具体的值
// 如果SQL语句中只有一个占位符 则可以省略数组
if (results.affectedRows === 1) {
console.log('删除成功');
}
})
7.标记删除
使用DELETE语句,会把真正的把数据从表中删除。为了保险起见 推荐使用标记删除的形式
来模拟删除的动作
所谓的标记删除 就说在表中设置类似于status这样的状态字段
来标记当前这条数据是否删除
当用户执行了删除的动作时,我们没有执行DELETE语句把数据删除掉,而是执行了UPDATE语句
将这条数据对应的status字段标记为删除即可
标记删除:使用UPDATE语句替代DELETE语句:只更新数据的状态 并没有真正的删除
const sqlStr = 'update users set status=? where id=?'
db.query(sqlStr, [1, 6], (err, results) => {
if (err) return console.log(err.message);
if (results.affectedRows === 1) {
console.log('标记删除成功');
}
})
5.前后端的身份认证
5.1 Web开发模式
目前主流的Web开发模式有两种 分别是
1 基于服务端渲染的传统Web开发模式
2 基于前后端分离的新型Web开发模式
1.服务器的Web开发模式
服务端渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成
因此客户端不需要使用AJax这样的技术额外请求页面的数据.
2.服务端渲染的优缺点
优点:
前端耗时少 英文服务器端负责动态生成HTML内容 浏览器只需要直接渲染也即可 尤其是移动端
有利于SEO:因为服务器端响应的是完整的HTML页面内容,所以爬虫更容易获取信息 更利于SEO
缺点:
占用服务器端资源,即服务器端完成HTML页面内容的拼接,如果请求较多,会对服务器造成一定访问压力
不利于前后端分离 开发效率低 使用服务器端渲染 则无法进行分工合作 尤其对于前端复杂度高的项目
不利于高效开发
3.前后端分离的Web开发模式
前后端分离的概念:前后端分离的开发模式,依赖于Ajax技术的广泛运用。
后端只负责提供API接口,前端使用Ajax调用接口的开发模式
4.前后端分离的优缺点
优点:
开发体验好 前端专注于UI页面的开发,后端专注于api的开发,且前端有了更多选择
用户体验好,Ajax技术的广泛运用,极大的提高了用户的体验,可以轻松实现页面的局部刷新
减轻了服务器端的渲染压力 因为页面最终是在每个用户的浏览器中生成的
缺点:
不利于SEO 因为完整的HTML页面想要在客户端动态拼接完成 所以爬虫对无法爬取页面的有效信息
利于Vue React等前端框架的SSR技术可以很好的解决SEO问题
5.如何选择Web开发模式
企业级网站:主要功能是展示而没有复杂的交互,并且需要良好的SEO,这时需要使用服务器端渲染
类似后台管理项目,交互性比较强,不需要考虑SEO,那么就可以使用前后端分离的开发模式
注意
具体使用那种开发模式并不是绝对的 为了同时兼顾了首页的渲染速度和前后端分离的开发效率
一些网站采用首屏服务器端渲染 + 其他页面前后端分离的开发模式
5.2身份认证
1.什么是身份认证
身份认证称身份验证 鉴权是指通过一定的手段 完成对用户身份的确认
在Web开发中,也设计到用户 例如:各大网站的手机验证码 邮箱密码登录 二维码登录
2.为什么身份认证
身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户
3.不同开发模式下的身份认证
对于服务端渲染和前后端分离这两种模式,分别有着不同的身份认证方案
1 服务端渲染推荐使用Session认证机制
2 前后端分离推荐使用JWT认证机制
5.3 Session认证机制
1.HTTP协议的无状态性
了解HTTP协议的无状态性是进一步学习Session认证机制的必要前提
HTTp协议的无状态性,指的是客户端的每次HTTP请求都是独立的,连续多个请求没有直接关系
服务器不会主动保留每次HTTP请求的状态
2.如何突破.HTTP协议无状态的现限制
注意:
现实生活中的会员卡身份认证方式,在Web开发中的专业术语
在Web开发中的专业术语叫做Cookie
3.什么是Cookie
Cookie是存储在用户浏览器中的一段不超过4kB的字符串
它由一个名称 一个值和其他几个用于控制Cookie有效期 安全性 使用范围的可选属性组成
不同域名下的Cookie各自独立,每当客户端发起请求时,会自动把当前域名下所以未过期的Cookie
一同发送服务器
Cookie的几大特性:
自动发送
域名独立
过期时限
4KB限制
4.Cookie在身份认证中的作用
客户端第一次请求服务器的时候,服务器通过响应头的形成,向客户端发送一个身份认证的Cookie
客户端会自动将Cookie保存在浏览器中
当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的Cookie
通过请求头的形式发送给服务器,服务器即可验明客户端的身份
5.Cookie不具有安全性
由于Cookie是存储在浏览器中的,而且浏览器也提供了读写Cookie的API,
因此Cookie很容易伪造
不具有安全性,因此不建议服务器将重要的隐私数据,通过Cookie的形式发送给浏览器
注意:
千万不要使用Cookie存储重要且隐私的数据 比如用户的身份信息、密码等
6.提供身份认证的安全性
为了防止客户伪造会员卡,收银员都会在收银机上进行刷卡认证
只有收银机确认存在的会员卡,才能被正常使用
这种会员卡 + 刷卡认证的设计理念 就说Session认证机制的精髓
7.Session的工作原理
5.4在Express中使用Session认证
1.安装express-Session中间件
在Express项目中,只需要按照express-Session中间件,即可在项目中使用Session认证
npm install express-session
2.配置express-Session中间件
express-Session中间件安装成功后,需要通过app.use()来注册session中间件
const session = require('express-session')
app.use(session({
secret: 'itheima',//可以是任意一个字符串
resave: false,//固定写法
saveUninitialized: true,//固定写法
}))
3.向session中存数据
当express-Session中间件配置成功后 即可通过req.Session来访问和使用session对象
从而存储用户
4.向session中获取数据
可以直接从req.session对象获取之前存储的数据
// 获取用户名字的接口
app.get('/api/username', (req, res) => {
判断用户是否登录
if (!req.session.islogin) {
return res.send({ status: 1., msg: 'fail' })
}
res.send({
status: 0,
msg: 'success',
username: req.session.user.username,
})
})
5.清空session
调用req.session.destroy()函数 即可清空服务器保存的session信息
app.post('/api/logout', (req, res) => {
//清空当前客户端对于的session信息
req.session.destroy()
res.send({
status: 0,
msg: '退出登录成功',
})
})
5.5JWT认证机制
1.了解Session认证的局限性
Session认证机制需要配合Cookie才能实现。由于Cookie默认不支持跨域访问
当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域Session认证
注意:
当前端请求后端接口不存在跨域的时候,推荐使用Session身份认证机制
当前端需要跨域请求后端接口的时候,推荐使用JWT认证机制
2.什么JWT
JWT是目最流行的跨域认证解决方案
3.JWT的工作原理
总结:用户的信息通过Token字符串的形式,保存在客户端浏览器中
浏览器通过还远Token字符串的形式来认证用户的身份
4.JWT的组成部分
JWT通常由三部分组成分别是Header(头部)、Payload(有效荷载)、Signature(签名)
三者之间使用英文的"."分割,
Heade.Payload.Signature
5.JWT的三个部分各自代表的含义
JWT的三个部分,从前到后Heade、Payload、Signature
Payload部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串
Heade、Signature是安全性相关的部分 只是为了包含Token的安全性
6.JWT的使用方式
客户端收到服务器的返回JWT之后,通常会将它存储在localStorage或sessionStorage中
此后 客户端每次与服务器通信,都要带上这个JWT的字符串,从而进行身份认证。
推荐的做法是把JWT放在HTTP请求体的Authorization字段中,
Authorization:Bearer <token>
以/my开头的请求路径 需要在请求体中携带Authorization身份认证字段,才能访问
5.6在Express中使用JWT
1.安装JWT相关的包
npm install jsonwebtoken express-jwt
其中:
jsonwebtoken生成JWT字符串
express-jwt用于将JWT字符串解析还原成JSON对象
2.导入JWT相关的包
使用require()函数,分别导入JWT相关的两个包
导入用于生成JWT字符串的包
const jwt=require('jsonwebtoken')
导入用于将客户端发送过来的JWT字符串 解析还原成JSON对象的包
const expressJWT =require('express-jwt')
3.定义secret密钥
为了保证JWT字符串的安全性,防止JWT字符串在网络传输过程中被别人破解
需要定义一个用于加密和解密的secret密钥
1 当生成JWT字符串的时候,需要使用secret密钥对用户的信息进行加密 得到加密好的JWT字符
2 当把JWT字符串解析还原成JSON对象,需要使用secret密钥进行解密
secret密钥的本质:就是一个字符串
const secreKey ='itheima No1'
4.在登录成功后生成JWT字符串
调用jsonwebtoken包提供的sign()方法,将用户的信息加密成JWT字符串,响应给字符串
// 参数1:用户的信息对象
// 参数2加密的密钥
// 参数3:配置对象 跨域配置当前的token的有效期
const tokenStr = jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: '30s' })
5.将JWT字符串还原未JSON对象
客户端每次在访问那行有权限接口的时候
都需要主动通过请求头中的Authorization字段,将Token字符串发送到服务器进行身份认证
此时,服务器跨域通过express-jwt这个中间件,自动将客户端发送过来的Token解析还原JSON对象
app.use注册中间件
expressJWT({ secret: secretKey}就是用来解析Token的中间件
.unless({ path: [/^\/api\//] })用来指定哪些接口不需要访问权限
只要expressJWT这个中间件配置成功 解析出来的用户信息就跨域挂载到req.user属性
app.use(expressJWT({ secret: secretKey}).unless({ path: [/^\/api\//] }))
6.使用req.user获取用户信息
当express-jwt这个中间件配置成功之后,即可在哪些有权限的接口中
使用req.user对象,来访问JWT字符串中解析出来的用户信息
// 这是个有权限的API接口
app.get('/admin/getinfo', function (req, res) {
console.log(req.user);
res.send({
status: 2000,
msg: '获取用户信息',
data:req.user,
})
})
7.捕获解析JWT失败后产生的错误
当express-jwt解析Token字符串时,如果客户端发送过来的Token字符串过期或不合法
会产生一个解析失败的错误,影响项目的正常的运行。我们可以通过Express的错误中间件
捕获这个错误并进行相关的处理
app.use((err, req, res, next) => {
//这次错误是由Token解析失败导致的
if (err.name === 'UnauthorizedError') {
return res.send({
status: 401,
massage: '无效的token'
})
}
res.send({
status: 500,
message: '未知的错误'
})
})