1. node知识汇总04 - Web 开发模式

3.1 基本 服务端渲染 的传统 Web 开发模式

• 服务端渲染的概念：服务器发送给客户端的 HTML 页面，是在服务器通过字符串的拼接，动态生成的。因此，客户端不需要使用 Ajax 这样的技术额外请求页面的数据。

  app.get('/index.html', (req, res) => {
    const user = {
  	name: 'zs',
  	age; 20,
    };
  });
  
  const html = `<h1>姓名：${user.name}，年龄：${user.age}</h1>`;
  
  res.send(html);
  

• 服务端渲染的优缺点：

  • 优点：① 前端耗时少。因为服务器端负责动态生成 HTML 内容，浏览器只需要直接渲染页面即可。尤其是移动端，更省点； ② 有利于SEO。因为服务器响应的是完整的 HTML 页面内容，所以爬虫更容易获取到信息，更有利于 SEO。
  • 缺点：① 占用服务器端资源。即服务器完成 HTML 页面内容的拼接，如果请求较多，会对服务器造成一定的访问压力；② 不利于前后端分离，开发效率低。使用服务器渲染，则无法进行分工合作，尤其对于前端复杂度高的项目，不利于项目高效开发。

3.2 基于前后端分离的新型 Web 开发模式

• 前后端分离的优缺点
  • 优点：① 开发体验好。前端专注于 UI 页面的开发，后端专注于 api 的开发，且前端有更多的选择性。② 用户体验好。Ajax 技术的广泛应用，极大的提高了用户的体验，可以轻松实现页面的局部刷新；③ 减轻了服务器端的渲染压力。因为页面最终是在每个用户的浏览器中生成的
  • 缺点：① 不利于 SEO。因为完整的 HTML 页面需要在客户端动态拼接完成，所以爬虫对无法爬取页面的有效信息。（解决方案：利用 Vue、react 等前端框架的 SSR 技术能够很好的解决 SEO 问题！）

3.3 如何选择 Web 开发模式

• 企业级网站，主要功能是展示而没有复杂的交互，并且需要良好的 SEO，则这时我们就需要使用服务器端渲染；
• 类似后台管理项目，交互性比较强，不需要考虑 SEO ，那么就可以使用前后端分离的开发模式
• 另外，具体使用何种开发模式并不是绝对的，为了同事兼顾了首页的渲染速度和前后端分离的开发效率，一些网站采用了首屏服务器渲染 + 其他页面前后端分离的开发模式。

3.4 前端的身份认证

• HTTP 协议的无状态性：指的是客户端的每次 HTTP 请求都是独立的，连续多个请求之间没有直接的关系，服务器不会主动保留每次 HTTP 请求的状态

3. 4.1 Session认证机制

• Cookie：是存储在用户浏览器中的一段不超过 4KB 的字符串。它由一个名称、一个值和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成

• 不同域名下的 Cookie 各自独立，每当客户端发起请求时，会自动把当前域名下所有未过期的 Cookie 一同发送到服务器

• Cooie的几个特性：

  • 自动发送
  • 域名独立
  • 过期时限
  • 4KB 限制

  

• Session 的工作原理

  

3.4.2 在 Express 中使用 Session 认证

• 1. 安装 express-session 中间件

  npm i express-session
  

• 2. 配置 express-session 中间件

  app.use(session({
    secret: 'keyboard cat', // secret 属性的值可以为任意字符串
    saveUninitialized: true, // 固定写法
    resave: false,
  }));
  

• 3. 向 express-session 中存数据，即可通过 req.session 来访问和使用 session 对象，从而存储用户的关键信息

  app.post('/api/login', (req, res) => {
    // 判断用户提交的登录信息是否正确
    console.log(req.body, 'req.body');
    if(req.body.username !== 'admin' || req.body.password !== '000000'){
      return res.send({
        status: 1,
        msg: '登录失败',
      });
    };
    req.session.user = req.body; // 将用户的信息，存储到 session 中
    req.session.isLogin = true; // 将用户的登录状态，存储到 session 中
  
    res.send({
      status: 0,
      msg: '登录成功',
    });
  });
  

  • 4. 从 session 中取数据，可以直接从 req.session 对象上获取之前存储的数据，示例代码如下：

    // 获取用户姓名的接口
    app.get('/api/username', (req, res) => {
      // 判断用户是否登录
      if(!req.session.isLogin) {
        return res.send({
          status: 1,
          msg: 'fail'
        });
      }
      res.send({
        status: 0,
        msg: 'success',
        username: req.session.user.username
      })
    });
    

  • 清空 session，调用 req.session.destroy() 函数，即可清空服务器保存的 session 信息

    app.post('/api/logout', (req, res) => {
      // 清空当前客户端对应的 session 信息
      req.session.destroy();
      res.send({
        status: 0,
        msg: '退出登录成功',
      })
    })
    

3.4.3 JWT 认证机制

• Session 认证的 ** 局限性**：Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问，所以，当涉及到前端跨域请求后端接口的时候，需要做很多额外的配置，才能实现跨域 Session 认证。

• 注意：当前端请求后端接口不存在跨域问题的时候，推荐使用 Session 身份认证机制；当前端需要跨域请求后端接口的时候，不推荐使用 Session 身份认证机制，推荐使用 JWT 认证机制

• JWT 的工作原理

  

• JWT 的组成部分，分别是 Header（头部）、Payload（有效荷载）、Signature（签名）三部分组成，三者之间使用英文的 . 分割

  Header.Payload.Signature
  

  其中：Payload 部分才是真正的用户信息，它是用户信息经过加密之后生成的字符串

  • Header 和 Signature 是安全性相关的部分，只是为了保证 Token 的安全性

• JWT 的使用方式：客户端收到服务器返回的 JWT 之后，通常会将它储存在 localStorage 或 sessionStorage 中。此后，客户端每次与服务器通信，都要带上这个 JWT 的字符串，从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中

  Authorization: Bearer <token>;
  

3.4.4 在 Express 中使用 JWT

• 1. 安装 JWT 相关的包

  npm i jsonwebtoken express-jwt
  

  • jsonwebtoken用于生成 JWT 字符串
  • express-jwt用于将 JWT 字符串解析还原成 JSON 对象
• 2. 导入 JWT 相关的包

  // 1. 导入用于生成 JWT 字符串的包
  const jwt = require('jsonwebtoken');
  // 2. 导入用于将客户端发送过来的 JWT 字符串，解析还原成 JSON 对象的包
  const expressJWT = require('express-jwt');
  

• 3. 定义 secret 密钥

  • 为了保证 JWT 字符串的安全性，防止 JWT 字符串在网络传输过程中被别人破解，我们需要专门定义一个用于加密和解密的 secret 密钥，密钥的本质就是一个字符串
  • ① 当生成 JWT 字符串的时候，需要使用 secret 密钥对用户的信息进行加密，最终得到加密好的 JWT 字符串
  • ② 当把 JWT 字符串解析还原成 JSON 对象的时候，需要使用 secret 密钥进行解密

  const secretKsy = 'itheima No1 ^_^';
  

• 4. 在登录成功后生成 JWT 字符串

  • 调用 jsonwebtoken 包提供的 sign() 方法，将用户的信息加密成 JWT 字符串，响应给客户端

  app.post('/api/login', (req, res) => {
    // ...省略校验失败
    const userInfo = req.body;
  
    res.send({
      status: 200,
      message: '登录成功！',
      token: jwt.sign({
        username: userInfo.username
      },
      secretKsy,
      {
        expiresIn: '60s'
      })
    })
  });
  

• 5. 将 JWT字符串还原为 JSON 对象

  • 客户端每次在访问那些有权限接口的时候，都需要主动通过请求头中的 Authorization 字段，将 Token 字符串发送到服务器进行身份认证

  /**
   * expressJWT({secret: secretKey}) 就是用来解析 Token 的中间件
   * .unless({ path: [/^\/api\//]}) 用来指定那些接口不需要访问权限
   */
   app.use(expressJWT({
    secret: secretKsy,
    algorithms: ['HS256'],
   }).unless({ path: [/^\/api\//]}));
   
  

• 6. 使用 req.user 获取用户信息

  • 当 express-jwt 这个中间件配置成功之后，即可在那些有权限的接口中，使用 req.user 对象，来访问从 JWT 字符串中解析出来的用户信息了

   // 这是一个有权限的 API 接口
  app.get('/admin/getInfo', (req, res) => {
    res.send({
      status: 200,
      message: '获取用户信息成功',
      data: req.user
    })
  });
  

• 捕获解析 JWT 失败后产生的错误

  // 错误的中间件
  app.use((err, req, res, next) => {
    // token 解析失败导致的错误
    if(err.name === 'UnauthorizedError') {
      return res.send({
        status: 401,
        message: '无效的token',
      })
    }
    // 其他原因导致的错误
    res.send({
      status: 500,
      message: '未知错误',
    })
  });