Node.js-1

Node.js 简介

定义：Node.js 是一个跨平台 JavaScript 运行环境，使开发者可以搭建服务器端的 JavaScript 应用程序

为什么 Node.js 能执行 JS 代码：

• Chrome 浏览器能执行 JS 代码，依靠的是内核中的 V8引擎（即：C++程序）

• Node.js 是基于 Chrome V8 引擎进行封装的
• 注意：Node.js 环境没有 DOM 和 BOM 等内容，但是它也有自己独立的 API

模块化

基本认知

Node.js 中根据模块来源不同，将模块分为了3大类，分别是：

• 内置模块（内置模块是由 Node.js 官方提供的，例如fs、path、http等）
• 自定义模块（用户创建的每一个 .js 文件，都是自定义模块）
• 第三方模块（由第三方开发出来的模块，并非官方提供的内置模块，也不是用户创建的自定义模块，使用前需要提前下载）

加载模块

使用强大的 require() 方法，可以加载需要的内置模块、用户自定义模块、第三方模块进行使用（注意：使用 require() 方法加载其他模块时，会执行被加载模块中的代码）

// 加载内置模块
const fs = require('fs')// 加载用户自定义的模块
const myModule = require('./myModule.js')// 加载第三方模块
const moment = require('moment')

module 对象

• module 对象

每个自定义的模块中都有一个 module 对象，它里面存储了和当前模块有关的信息（打印结果，如下所示）

Module {id: '.',path: 'E:\\Desktop\\jsProject',exports: {},filename: 'E:\\Desktop\\jsProject\\test.js',loaded: false,children: [],paths: ['E:\\Desktop\\jsProject\\node_modules','E:\\Desktop\\node_modules','E:\\node_modules']
}

• module.exports 对象

在自定义模块中，可以使用 module.exports 对象，将模块内的成员共享出去，供外界使用外界用 require() 方法导入自定义模块时，得到的就是 module.exports 所指向的对象

【myModule.js文件】module.exports.username = 'Jack'
module.exports.sayHello = () => { console.log('Hello') }

【text.js文件】const m = require('./myModule')
console.log(m)	// { username: 'Jack', sayHello: [Function (anonymous)] }

模块化规范

Node.js 遵循了 CommonJS 模块化规范，CommonJS 规定了模块的特性和各模块之间如何相互依赖

CommonJS 规定：

• 每个模块内部，module 变量代表当前模块
• module 变量是一个对象，它的 exports 属性（即：module.exports）是对外的接口
• 加载某个模块，其实是加载该模块的 module.exports 属性。require() 方法用于加载模块

npm与包

基本介绍

• Node.js 中的第三方模块又叫做包
• npm 公司提供了一个包管理工具，名字叫做 Node Package Manager（简称 npm 包管理工具），这个工具随着 Node.js 的安装被一起安装到了用户的电脑上
• npm 包管理工具能够从 https://registry.npmjs.org/ 服务器把用户需要的包（第三方模块）下载到本地使用
• 可以在终端执行 npm -v 命令，来查看自己电脑上所安装的 npm 包管理工具的版本号
• 如果有需要的话，可以从"全球最大的包共享平台"搜索自己想要的包：https://www.npmjs.com/

npm 体验

目标：通过npm包管理工具，下载 moment 包，并输出格式化时间

• 在终端输入npm命令，下载 moment 包

npm install moment

• 简写

npm i moment

• 指定版本号（不指定版本号，默认安装最新版本的包）

npm i moment@2.22.2

• 输出格式化时间（详细操作，自行查阅官方文档）

// 1. 导入 moment 包
const moment = require('moment')// 2. 使用包里面的方法
const dt = moment.format('YYYY-MM-DD HH:mm:ss')
console.log(dt)	// 输出格式化时间

注意事项

• 初次装包完成后，在项目文件夹下多一个叫做 node_modules 的文件夹和 package-lock.json 的配置文件

• node_modules 文件夹用来存放所有已安装到项目中的包。require() 导入第三方包时，就是从这个目录中查找并加载包

• package-lock.json 配置文件用来记录 node_modules 目录下的每一个包的下载信息，例如包的名字、版本号、下载地址

• 注意：不要手动修改 node_modules 或 package-lock.json 文件中的任何代码，npm 包管理工具会自动维护它们

• npm i moment@2.22.2 中的版本号由三位数字组成

每一位数字所代表的含义：第一位数字：大版本（例如：底层重构）第二位数字：功能版本（例如：新功能的推出）第三位数字：Bug修复版本（例如：修复某个Bug）版本号提升的规则：只要前面的版本号增长了，后面的版本号"归零"

包管理配置文件

基本认知

npm 规定，在项目根目录中，必须提供一个叫做 package.json 的包管理配置文件。用来记录与项目有关的一些配置信息，例如：- 项目的名称、版本号、描述等- 项目中都用到了哪些包- 哪些包只在开发期间会用到- 哪些包在开发和部署时都需要用到

问题：在多人协作时，第三方包的体积过大，不方便团队成员之间共享项目源代码解决方案：共享时剔除 node_modules 目录，让其他成员根据 package.json 配置文件，自行下载第三方模块（注意：今后在项目开发中，一定要把 node_modules 文件夹，添加到 .gitignore 忽略文件中）

快速创建

• npm 包管理工具提供了一个快捷命令，可以在执行命令时所处的目录中，快速创建 package.json 配置文件
• 该命令只能在英文的目录下成功运行
• 当我们后续运行 npm install 命令去安装其他的包时，npm 包管理工具会自动更新配置文件的信息，我们不需要手动修改它

npm init -y

一次性安装所有包

• 执行 npm install 命令时，npm 包管理工具会先自动读取 package.json 配置文件中的 dependencies 节点
• 读取到记录的所有依赖包名称和版本号之后，npm 包管理工具会把这些包一次性下载到项目中

npm install

卸载包

• 命令执行成功后，会把卸载的包，自动从 package.json 的 dependencies 中移除掉

npm uninstall 包的名称

devDependencies 节点

• 如果某些包只在项目开发阶段用到，在项目上线之后不会使用，建议把这些包记录到 devDependencies 节点中

npm i 包的名称 -D或者npm i 包的名称 --save-dev

npm 镜像源

# 查看当前的下包镜像源
npm config get registry# 将下包的镜像源切换成淘宝镜像源
npm config set registry https://registry.npmmirror.com# 检查镜像源是否下载成功
npm config get registry

Node.js 内置模块

fs 文件系统模块

// 1. 导入 fs 模块对象
const fs = require('fs')// 2. 写入文件
//      参数1：要写入内容的文件的存放路径
//      参数2：表示要写入的内容
//      参数3：写入的格式（默认utf8）
//      参数3：回调函数
const info = 'Hello World'
fs.writeFile('./test.txt', info, 'utf8', function (err) {if (err) console.log(`错误信息${err}`)else console.log(`写入数据成功（数据信息：${info}）`)// 3. 读取文件//      参数1：读取文件的存放路径//      参数2：读取文件时候采用的编码格式（默认utf8）//      参数3：回调函数，拿到读取失败和成功的结果fs.readFile('./test.txt', 'utf8', (err, data) => {if (err) console.log(`错误信息${err}`)else console.log(`读取数据成功（数据信息：${data.toString()}）`) // data 是 buffer 16 进制数据流对象，需要转换为字符串格式})
})

path 路径模块

• 获取当前文件所处的目录

// __dirname 表示获取当前文件所处的目录(文件夹)
console.log(__dirname)

• 路径拼接

// 导入 path 模块
const path = require('path')// 注意： ../会抵消前面的路径
const pathStr = path.join('/a', '/b/c', '../', '/d', '/e')
console.log(pathStr)    // 输出路径为：\a\b\d\e

• 获取文件名、扩展名

// 导入 path 模块
const path = require('path')// 定义文件的"存放路径"
const filePath = '/a/b/c/index.html'// 从"存放路径"中获取文件名（包含扩展名部分）
const fileName1 = path.basename(filePath)
console.log(fileName1)   // 输出结果：index.html// 从"存放路径"中获取文件名（不包含扩展名部分）
const fileName2 = path.basename(filePath, '.html')
console.log(fileName2)   // 输出结果：index// 从"存放路径"中获取文件扩展名
const extName = path.extname(filePath)
console.log(extName)    // 输出结果：.html

http 模块

// 1. 导入 http 模块
const http = require('http')
const { resolve } = require('path')// 2. 创建 web 服务器实例
const server = http.createServer()// 3. 为服务器实例绑定 request 事件
// req 是请求对象，包含了与客户端相关的数据和属性
// res 是响应对象
// res.end() 方法用于向客户端发送指定的内容，并结束本次请求的处理过程
server.on('request', (req, res) => {// req.url 是客户端请求的 URL 地址const url = req.url// req.method 是客户端请求的 method 类型const method = req.method// 为了防止中文乱码的问题，需要设置响应头res.setHeader('Content-Type', 'text/html; charset=utf-8')// res.end() 方法res.end(`<h1>您的请求方式为：${method} 请求</h1>`)
})// 4. 启动服务器
server.listen(80, () => {console.log('server running at http://127.0.0.1:80')
})

第三方 API 模块

express

基本介绍

• Express 是基于 Node.js 平台的 Web 开发框架，专门用来创建 Web 服务器
• Express 本质上就是一个第三方模块，相较与 Node.js 内置的 http 模块，它使用起来更简单，开发效率更高（Express 是基于 http 模块进一步封装出来的）
• Express 中文官网：https://www.expressjs.com.cn/

模块使用

• 安装

npm i express@4.17.1

• 创建 Web 服务器

// 1. 导入 express
const express = require('express')// 2. 创建 web 服务器
const app = express()// 4. 监听客户端的 GET 和 POST 请求
// GET      app.get('请求URL', (请求对象, 响应对象) => { 处理函数 })
// POST     app.post('请求URL', (请求对象, 响应对象) => { 处理函数 })
app.get('/user', (req, res) => {res.send({ name: 'Jack', age: 20, gender: '男' })    // 响应一个 JSON 对象
})app.post('/user', (req, res) => {res.send('订单提交成功，请等待商家发货')    // 响应
})// 5. 获取URL携带的查询参数
app.get('/', (req, res) => {// 默认情况下，req.query 是一个空对象// 查询参数 ?name=Jack&age=20// 可通过 req.query.name 与 req.query.age 获得其值console.log(req.query)res.send(req.query)
})// 6. 获取URL中的动态参数
app.get('/user/:id/:name', (req, res) => {// req.params 默认是一个空对象，里面存放着，通过冒号识别出来的参数值res.send(req.params)
})// 3. 调用 app.listen(端口号, 启动成功后的回调函数)
app.listen(80, () => {console.log('Server started successfully at http://127.0.0.1/')
})

托管静态资源

• 认识 express.static()

介绍：express 提供了一个非常好用的函数，叫做 express.static()通过它，我们可以非常方便地创建一个静态资源服务器例如：项目目录下有一个 public 文件夹，里面存放了图片、html、css、js文件，通过下面的代码就可以将它们对外开放访问了注意：express 在指定的静态文件中查找文件，并对外提供资源的访问路径，因此，存放静态文件的目录名（本例中为public）是不会出现在URL中的http://127.0.0.1/images/img0.jpghttp://127.0.0.1/html/index.htmlhttp://127.0.0.1/css/index.csshttp://127.0.0.1/js/index.js

app.use(express.static('public'))

• 托管多个静态资源目录

app.use(express.static('public'))
app.use(express.static('files'))
......

• 挂载路径前缀

如果希望在托管的静态资源访问路径之前，挂载路径前缀，可以使用下面的代码http://127.0.0.1/public/images/img0.jpghttp://127.0.0.1/public/html/index.htmlhttp://127.0.0.1/public/css/index.csshttp://127.0.0.1/public/js/index.js

app.use('public', express.static('public'))

nodemon

• 为什么要使用 nodemon

在编写调试 Node.js 项目的时候，如果修改了项目的代码，则需要频繁的手动 close 掉，然后再重新启动，非常繁琐为了解决这个问题，我们可以使用 nodemon 这个工具，它能够监听项目文件的变动，当代码修改后，nodemon 会自动帮我们重启项目，极大方便了开发和调试

• 安装 nodemon

在终端中运行下面命令，即可将 nodemon 安装为全局可用的工具npm install -g nodemon

• 使用 nodemon

nodemon 要执行的js文件的路径

例如：nodemon E:\Desktop\jsProject\test.js

路由

直接挂载路由

const express = require('express')
const app = express()// 直接在app上挂载路由
app.get('/', (req, res) => { res.send('this is get') })
app.post('/', (req, res) => { res.send('this is post') })app.listen(80, () => {console.log('Server is running at http://127.0.0.1/')
})

模块化的方式，挂载路由，实现解耦合

• 文件名：routerModule

// 这是路由模块// 1. 导入 express 模块
const express = require('express')// 2. 创建路由对象
const router = express.Router()// 3. 挂载具体的路由
router.get('/list', (req, res) => { res.send('Get user list.') })
router.post('/add', (req, res) => { res.send('Add new user.') })// 4. 向外导出路由对象
module.exports = router

• 文件名：myApplication

// 这是 app (application-应用)// 1. 导入 express 模块
const express = require('express')// 2. 创建应用
const app = express()// 4. 导入路由模块
const router = require('./routerModule')// 5. "注册"路由模块
app.use('/user', router)
// app.use(express.static('public'))
// 注意：app.use() 函数的作用，就是用来"注册"全局中间件// 3. 运行服务器，监听应用的80端口
app.listen(80, () => { console.log('Server is running at http://127.0.0.1/') })

中间键

• 基本认识

// 1. 导入 express 模块
const express = require('express')// 2. 创建应用
const app = express()// 4. 定义一个中间件函数
const mw = (req, res, next) => {console.log('这是最简单的中间件函数')next()      // 把流转关系，转交给下一个中间件或路由
}// 5. 将 mw 注册为全局生效的中间件
// 当注册成功后，用户每次请求服务时，都会先执行中间键函数里面的内容，再执行路由函数里面的内容
app.use(mw)// 6. 创建路由
app.get('/', (req, res) => { res.send('home page') })
app.get('/user', (req, res) => { res.send('user page') })// 3. 运行服务器，监听应用的80端口
app.listen(80, () => { console.log('Server is running at http://127.0.0.1/') })

• 体验它的作用

// 1. 导入 express 模块
const express = require('express')// 2. 创建应用
const app = express()// 4. 注册全局中间件
app.use((req, res, next) => {// 获取请求到达服务器的时间const time = Date.now()// 为req对象，挂载自定义属性，从而把时间共享给后面的所有路由req.startTime = timenext()
})// 5. 创建路由
app.get('/', (req, res) => { res.send('home page ' + req.startTime) })
app.get('/user', (req, res) => { res.send('user page ' + req.startTime) })// 3. 运行服务器，监听应用的80端口
app.listen(80, () => { console.log('Server is running at http://127.0.0.1/') })

• 定义多个全局中间件

// 1. 导入 express 模块
const express = require('express')// 2. 创建应用
const app = express()// 4. 注册全局中间件
// 4.1 注册第一个中间件
app.use((req, res, next) => {console.log('调用了第1个中间件')next()
})// 4.2 注册第二个中间件
app.use((req, res, next) => {console.log('调用了第2个中间件')next()
})// 4.3 注册第三个中间件
app.use((req, res, next) => {console.log('调用了第3个中间件')next()
})// 5. 创建路由
app.get('/user', (req, res) => { res.send('user page') })// 3. 运行服务器，监听应用的80端口
app.listen(80, () => { console.log('Server is running at http://127.0.0.1/') })

• 局部生效的中间件

// 1. 导入 express 模块
const express = require('express')// 2. 创建应用
const app = express()// 4. 定义一个中间件函数
const mw = (req, res, next) => {console.log('调用了局部生效的中间件')next()
}// 5. 创建路由
app.get('/', mw, (req, res) => { res.send('home page') })  // 使用了局部中间件
app.get('/user', (req, res) => { res.send('user page') })   // 没有使用局部中间件// 3. 运行服务器，监听应用的80端口
app.listen(80, () => { console.log('Server is running at http://127.0.0.1/') })

• 定义多个局部中间件

// 以下两种写法是等效的
app.get('/', mw1, mw2, (req, res)=>{ res.send('home page') })
app.get('/', [mw1, mw2], (req, res)=>{ res.send('home page') })

• 错误级别的中间件

// 1. 导入 express 模块
const express = require('express')// 2. 创建应用
const app = express()// 4. 定义路由
app.get('/', (req, res) => {throw new Error('The Error made by People.')     // 人为制造错误res.send('home page')   // 此处无法执行
})// 5. 定义错误级别的中间件，捕获整个项目的异常错误，从而防止程序的崩溃
app.use((err, req, res, next) => {console.log('警告！服务器发生了错误。\n错误信息：' + err.message)res.send('尊敬的用户，很抱歉，服务器出错了~')
})	// 错误级别的中间件一定要放在所有路由之后// 3. 运行服务器，监听应用的80端口
app.listen(80, () => { console.log('Server is running at http://127.0.0.1/') })

• express 内置的中间件

自从 Express 4.16.0 版本开始，Express 内置了3个常用的中间件，极大的提高了 Express 项目的开发效率和体验1. express.static 快速托管静态资源的内置中间件，例如：HTML文件、CSS样式、图片等2. express.json 解析 JSON 格式的请求体数据 (4.16.0+ 版本可用)3. express.urlencoded 解析 URL-encoded 格式的请求体数据 (4.16.0+ 版本可用)

// 1. 导入 express 模块
const express = require('express')// 2. 创建应用
const app = express()// 4.1 通过express.json()这个中间件，解析表单中的JSON
app.use(express.json())
// 4.2 通过express.urlencoded()这个中间件，来解析表单中的url-encoded格式的数据
app.use(express.urlencoded({ extended: false }))// 5. 创建路由
app.post('/user', (req, res) => {// 使用 req.body 属性，可用接收客户端发送过来的请求体数据// 默认情况下，如果不配置解析表单数据的中间件，则 req.body 默认等于 undefinedconsole.log(req.body)res.send('ok')
})app.post('/book', (req, res) => {// 在服务器端，可用通过 req.body 来获取 JSON 格式的表单数据和 url-encoded 格式的数据console.log(req.body)res.send('ok')
})// 3. 运行服务器，监听应用的80端口
app.listen(80, () => { console.log('Server is running at http://127.0.0.1/') })

跨域访问

• 下载并安装 cors 中间件

npm i cors@2.8.5

• 使用 cors 中间件

// 导入 cors 中间件
const cors = require('cors')
// 将 cors 注册为全局中间件
app.use(cors())

跨域资源共享

点击链接：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS

mysql

基本内容

• 安装

npm install mysql

• 配置

// 1. 导入 mysql 模块
const mysql = require('mysql')// 2. 建立与 MySQL 数据库的连接
const db = mysql.createPool({host: '127.0.0.1',      // 数据库的IP地址user: 'root',           // 登录数据库的账号password: 'admin123',   // 登录数据库的密码database: 'myDatabase'  // 指定要操作哪个数据库
})

• 测试

// 检测 mysql 模块能否正常工作
db.query('select 1', (err, results) => {if (err) return console.log(err.message)    // mysql 模块工作期间报错了console.log(results)    // 能够成功的执行SQL语句
})

查询与插入数据

• 查询数据

// 1. 导入 mysql 模块
const mysql = require('mysql')// 2. 建立与 MySQL 数据库的连接
const db = mysql.createPool({host: '127.0.0.1',      // 数据库的IP地址user: 'root',           // 登录数据库的账号password: 'admin123',   // 登录数据库的密码database: 'myDatabase'  // 指定要操作哪个数据库
})// 3. 查询 users 表中所有的数据
const sqlStr = 'select * from users'
db.query(sqlStr, (err, results) => {// 查询数据失败if (err) return console.log(err.message)// 查询数据成功console.log(results)
})

• 插入数据

// 1. 导入 mysql 模块
const mysql = require('mysql')// 2. 建立与 MySQL 数据库的连接
const db = mysql.createPool({host: '127.0.0.1',      // 数据库的IP地址user: 'root',           // 登录数据库的账号password: 'admin123',   // 登录数据库的密码database: 'myDatabase'  // 指定要操作哪个数据库
})// 3. 向 users 表中插入数据
const user = { username: 'Jack', password: '123456' }
const sqlStr = 'insert into users set ?'
db.query(sqlStr, user, (err, results) => {if (err) return console.log(err.message)    // 执行SQL语句失败了if (results.affectedRows === 1) { console.log('插入数据成功!') }
})

更新与删除数据

• 更新数据

// 1. 导入 mysql 模块
const mysql = require('mysql')// 2. 建立与 MySQL 数据库的连接
const db = mysql.createPool({host: '127.0.0.1',      // 数据库的IP地址user: 'root',           // 登录数据库的账号password: 'admin123',   // 登录数据库的密码database: 'myDatabase'  // 指定要操作哪个数据库
})// 3. 更新 users 表中数据
const user = { id: 6, username: 'Jack', password: '123456' }
const sqlStr = 'update users set ? where id=?'
db.query(sqlStr, [user, user.id], (err, results) => {if (err) return console.log(err.message)    // 执行SQL语句失败了if (results.affectedRows === 1) { console.log('更新数据成功!') }
})

• 删除数据

// 1. 导入 mysql 模块
const mysql = require('mysql')// 2. 建立与 MySQL 数据库的连接
const db = mysql.createPool({host: '127.0.0.1',      // 数据库的IP地址user: 'root',           // 登录数据库的账号password: 'admin123',   // 登录数据库的密码database: 'myDatabase'  // 指定要操作哪个数据库
})// 3. 删除 users 表中的数据（删除id=5的用户数据）
const sqlStr = 'delete from users where id=?'
db.query(sqlStr, 5, (err, results) => {if (err) return console.log(err.message)    // 执行SQL语句失败了if (results.affectedRows === 1) { console.log('删除数据成功!') }
})

标记删除法：（扩展）使用 delete 语句，是真的会把数据从表中抹除掉。为了保险起见，推荐使用标记删除法，来模拟删除的动作。什么是标记删除法呢？就是在创建表的时候，提前建立好一个 status 状态字段，用来表示当前这条数据是否被删除掉，当我们使用标记删除法后，哪怕用户删除数据了，有一天用户需要找回来，也能找到这条数据。

Web 开发模式

目前主流的开发模式有两种

• 基于服务端渲染的传统 Web 开发模式
• 基于前后端分离的新型 Web 开发模式

服务端渲染

概念

服务端发送给客户端的HTML页面，是在服务器通过字符串的拼接，动态生成的。因此，客户端不需要使用Ajax这样的技术额外请求页面的数据。

优点

• 前端耗时少（因为服务器端负责动态生成HTML内容，浏览器只需要直接渲染即可，尤其是移动端，更省电）
• 有利于SEO（因为服务器端响应的是完整的HTML页面内容，所以爬虫更容易获取信息，更有利于SEO）

缺点

• 占用服务器资源（服务器端完成HTML页面内容的拼接，如果请求较多，会对服务器造成一定的访问压力）
• 不利于前后端分离，开发效率低（使用服务器端渲染，则无法分工合作，尤其对于前端项目复杂度高的项目，不利于项目高效开发）

前后端分离

概念

前后端分离的开发模式，依赖于Ajax技术的广泛应用。简而言之，前后端分离的Web开发模式，就是后端只负责提供API接口，前端使用Ajax调用接口的开发模式。

优点

• 开发体验好。（前端专注于 UI 页面的开发，后端专注于 API 的开发，而且前端有更多的选择性）
• 用户体验好。（Ajax 技术的广泛应用，极大的提高了用户的体验 ，可以轻松实现页面的局部刷新）
• 减轻了服务器的压力（页面最终是在每个用户的浏览器中生成的）

缺点

• 不利于 SEO （因为完整的HTML页面需要在客户端动态拼接完成，所以爬虫难以爬取页面的有效信息）

解决方案：利用 Vue、React 等前端框架的 SSR (server side render) 技术能够很好的解决 SEO 问题

身份认证

基本认识

介绍：身份认证（Authoritarian）又称"身份验证"、"鉴权"，它是指通过一定的手段，完成对用户身份的确认例如：手机验证码登录、邮箱密码登录、二维码登录等

不同开发模式下的身份认证1.服务端渲染推荐使用 Session 认证机制2.前后端分离推荐使用 JWT 认证机制

Session 认证机制

Cookie

• HTTP 无状态性质

HTTP 协议的无状态性质，指的是客户端每次的 HTTP 请求都是独立的，连续多个请求之前没有直接的关系，服务器不会主动保留每次 HTTP 请求的状态

• 突破 HTTP 无状态的限制

使用 Cookie 可以弥补 HTTP 无法记录状态的问题

• 什么是 Cookie

Cookie 是存储在用户浏览器中的一段不超过 4KB 的字符串

它由一个名称（Name）、一个值（value）和其他几个用于控罪 Cookie 有效期、安全性、使用范围的可选属性组成

不同域名下的 Cookie 各自独立，每当客户端发起请求时，会自动把当前域名下所有未过期的 Cookie 一同发送到服务器

• Cookie 的几大特性

1.自动发送
2.域名独立
3.过期时限
4.4KB限制

• Cookie 在身份认证中的作用

客户端第一次请求服务器的时候，服务器通过响应头的形式，向客户端发送一个身份认证的 Cookie，客户端会自动将 Cookie 保存在浏览器中
随后，当客户端浏览器每次请求服务器的时候，浏览器会自动将身份认证相关的 Cookie，通过请求头的形式发送给服务器，服务器即可验证客户端的身份

• Cookie 不具有安全性

由于 Cookie 是存储在浏览器中的，而且浏览器也提供了读写 Cookie 的 API，因此 Cookie 很容易被伪造，不具有安全性。因此不建议服务器将重要的隐私数据，通过 Cookie 的形式发送给浏览器

Session

• Session = Cookie + 认证
• Session 的工作原理

实现 Session 认证

• 安装 express-session 中间件

npm install express-session

• 配置 express-session 中间件

// 1. 导入 session 中间件
const session = require('express-session')// 2. 配置 Session 中间件
app.use(session({secret: 'keyboard cat',     // secret 属性的值可以为任意字符串resave: false,              // 固定写法saveUninitialized: true     // 固定写法
}))

• session 操作

当 express-session 中间件配置成功后，即可通过 req.session 来访问和使用 session 对象，从而存储用户的关键信息

// 1. 创建服务器实例
const express = require('express')
const app = express()// 3. 配置 express-session 中间件
const session = require('express-session')
app.use(session({secret: 'keyboard cat',     // secret 属性的值可以为任意字符串resave: false,              // 固定写法saveUninitialized: true     // 固定写法
}))// 4. 创建路由// 4.1 登录接口
app.post('api/login', (req, res) => {// 判断用户提交的登录信息是否正确if (req.body.username !== 'admin' || req.body.password !== '123456') {return res.send({ status: 1, msg: '登录失败' })}req.session.user = req.body     // 将用户的信息，存储到 Session 中req.session.isLogin = true      // 将用户的登录状态，存储到 Session 中req.send({ status: 0, msg: '登录成功' })
})// 4.2 获取用户姓名的接口
app.get('/api/username', (req, res) => {// 从 Session 中获取用户的名称，响应给客户端if (!req.session.isLogin) {return res.send({ status: 1, msg: 'fail' })}res.send({status: 0,msg: 'success',username: req.session.user.username})
})// 4.3 退出登录的接口
app.post('/api/logout', (req, res) => {// 清空当前客户端对应的 Session 信息req.session.destory()res.send({status: 0,msg: '退出登录成功'})
})// 2. 启动服务器
app.listen(80, (req, res) => {console.log('Server is running at http://127.0.0.1/')
})

• Session 认证的局限性

Session 认证机制需要配合 Cookie 才能实现。
由于 Cookie 默认不支持跨域访问，所以，当涉及到前端跨域请求后端接口时，需要做很多额外配置，才能实现跨域 Session 认证

当前端请求后端接口不存在跨域问题的时候，推荐使用 Session 身份认证机制
当前端需要跨域请求后端接口的时候，不推荐使用 Session 身份认证机制，推荐使用 JWT 认证机制

JWT 认证机制

简介

• JWT（JSON Web Token）是目前最流行的跨域认证解决方案
• 工作原理

• **JWT **通常由三部分组成

Header		(头部)
Payload		(有效载荷)
Signature	(签名)

三者之间使用英文的"."进行分隔

Payload 部分才是真正的用户信息，它是用户信息经过加密之后生成的字符串
Header 和 Signature 是安全性相关的部分，只是为了保证 Token 的安全性

• JWT 的使用方式

客户端收到服务器返回的 JWT 之后，通常会将它存储在 localStorage 或 sessionStorage 中
此后，客户端每次与服务器通信，都要带上这个 JWT 的字符串，从而进行身份认证

推荐的做法是把 JWT 放在 HTTP 请求头的 Authoritarian 字段中
格式如下:
Authorization: Bearer <token>

实现 JWT 认证

• 安装 JWT 相关的包

jsonwebtoken 用于生成 JWT 字符串
express-jwt 用于将 JWT 字符串解析还原成 JSON 对象

npm install jsonwebtoken express-jwt

• 使用 JWT

// 1. 创建服务器实例
const express = require('express')
const app = express()// 3. 使用 JWT
// 3.1 安装并导入 JWT 相关的两个包
const jwt = require('jsonwebtoken')
const expressJWT = require('express-jwt')// 3.2 设置 secret 密钥，保证 JWT 字符串的安全
const secretKey = 'text use ^_^'// 3.4 将 JWT 字符串解析还原成 JSON 对象
// 注意：只要配置成功了 express-jwt 这个中间件，就可以把解析出来的用户信息，挂载到 req.user 属性上
const mw = expressJWT({ secret: secretKey }).unless({ path: [/^\/api\//] })
app.use(mw)     // 将这个中间件注册为全局中间件// 获取用户信息的接口
app.get('/admin/getInfo', (req, res) => {// 3.5 使用 req.user 获取用户信息，并使用 data 属性将用户信息发送给客户端console.log(req.user)res.send({status: 200,message: "获取用户信息成功",data: req.user})
})// 登录接口
app.post('api/login', (req, res) => {const userinfo = req.body// 登录失败if (userinfo.username !== 'admin' || userinfo.password !== '123456') {return res.send({ status: 400, message: '登录失败' })}// 登录成功// 3.3 登录成功后，生成 JWT 字符串，并通过 token 属性发送给客户端// 参数1：用户的信息对象// 参数2：加密的密钥// 参数3：配置对象，可以配置当前的 token 的有效期const tokenStr = jwt.sign({ username: userinfo.username }, secretKey, { expiresIn: '60s' })req.send({ status: 200, message: '登录成功', token: tokenStr })
})// 3.6 使用全局错误处理中间件，捕获解析 JWT 失败后产生的错误
app.use((err, req, res) => {// 判断错误是否为 token 解析失败导致if (err.name === 'UnauthorizedError') return res.send({ status: 401, message: '无效的token' })res.send({ status: 500, message: '未知的错误' })
})// 2. 启动服务器
app.listen(80, (req, res) => {console.log('Server is running at http://127.0.0.1/')
})