每个 Excel 中，数据的组织结构分别为工作簿、工作表、数据行、列这 4 大部分组成。

1 整个 Excel 叫做工作簿 2 users 和 books 是工作表 3 users 工作表中有 3 行数据 4 每行数据由 6 列信息组成 5 每列信息都有对应的数据类型

在传统型数据库中，数据的组织结构分为数据库(database)、数据表(table)、数据行(row)、字段(field)这 4 大部分组成。

1 数据库类似于 Excel 的工作簿 2 数据表类似于 Excel 的工作表 3 数据行类似于 Excel 的每一行数据 4 字段类似于 Excel 的列 5 每个字段都有对应的数据类型

实际开发中库、表、行、字段的关系

DataType 数据类型: 1 int整数 2 varchar(len) 字符串 3 tinyint(1) 布尔值 字段的特殊标识: 1 PK(Primary Key)主键、唯一标识 2 NN(Not Null)值不允许为空 3 UQ(Unique)值唯一 4 AI(Auto Increment)值自动增长

SQL(英文全称:Structured Query Language)是结构化查询语言，专门用来访问和处理数据库的编程语言。能够让 我们以编程的形式，操作数据库里面的数据。

三个关键点: 1 SQL 是一门数据库编程语言 2 使用 SQL 语言编写出来的代码，叫做 SQL 语句 3 SQL 语言只能在关系型数据库中使用(例如 MySQL、Oracle、SQL Server)。非关系型数据库(例如 Mongodb) 不支持 SQL 语言

1 从数据库中查询数据 2 向数据库中插入新的数据 3 更新数据库中的数据 4 从数据库删除数据 5 可以创建新数据库 6 可在数据库中创建新表 7 可在数据库中创建存储过程、视图 8 etc...

重点掌握如何使用 SQL 从数据表中: 查询数据(select) 、插入数据(insert into) 、更新数据(update) 、删除数据(delete) 额外需要掌握的 4 种 SQL 语法: where 条件、and 和 or 运算符、order by 排序、count(*) 函数

SELECT 语句用于从表中查询数据。执行的结果被存储在一个结果表中(称为结果集)。语法格式如下:

注意:SQL 语句中的关键字对大小写不敏感。SELECT 等效于 select，FROM 等效于 from。

我们希望从 users 表中选取所有的列，可以使用符号 * 取代列的名称，示例如下:

如需获取名为 "username" 和 "password" 的列的内容(从名为 "users" 的数据库表)，请使用下面的 SELECT 语句:

INSERT INTO 语句用于向数据表中插入新的数据行，语法格式如下:

INSERT INTO 示例

Update 语句用于修改表中的数据。语法格式如下:

UPDATE 示例 - 更新某一行中的一个列

DELETE 语句用于删除表中的行。语法格式如下:

DELETE 示例

WHERE 子句用于限定选择的标准。在 SELECT、UPDATE、DELETE 语句中，皆可使用 WHERE 子句来限定选择的标准。

可在 WHERE 子句中使用的运算符

WHERE 子句示例

AND 和 OR 可在 WHERE 子语句中把两个或多个条件结合起来。 AND 表示必须同时满足多个条件，相当于 JavaScript 中的 && 运算符，例如 if (a !== 10 && a !== 20) OR 表示只要满足任意一个条件即可，相当于 JavaScript 中的 || 运算符，例如 if(a !== 10 || a !== 20)

使用 AND 来显示所有 status 为 0，并且 id 小于 3 的用户:

使用 OR 来显示所有 status 为 1，或者 username 为 zs 的用户:

ORDER BY 语句用于根据指定的列对结果集进行排序。 ORDER BY 语句默认按照升序对记录进行排序。 如果您希望按照降序对记录进行排序，可以使用 DESC 关键字。

ORDER BY 子句 - 升序排序

ORDER BY 子句 – 降序排序

ORDER BY 子句 – 多重排序

查询 users 表中 status 为 0 的总数据条数:

如果希望给查询出来的列名称设置别名，可以使用 AS 关键字，示例如下:

mysql 模块是托管于 npm 上的第三方模块。它提供了在 Node.js 项目中连接和操作 MySQL 数据库的能力。 想要在项目中使用它，需要先运行如下命令，将 mysql 安装为项目的依赖包:

在使用 mysql 模块操作 MySQL 数据库之前，必须先对 mysql 模块进行必要的配置，主要的配置步骤如下:

调用 db.query() 函数，指定要执行的 SQL 语句，通过回调函数拿到执行的结果:

查询 users 表中所有的数据:

向 users 表中新增数据， 其中 username 为 Spider-Man，password 为 pcc321。示例代码如下:

向表中新增数据时，如果数据对象的每个属性和数据表的字段一一对应，则可以通过如下方式快速插入数据:

可以通过如下方式，更新表中的数据:

更新表数据时，如果数据对象的每个属性和数据表的字段一一对应，则可以通过如下方式快速更新表数据:

在删除数据时，推荐根据 id 这样的唯一标识，来删除对应的数据。示例如下:

使用 DELETE 语句，会把真正的把数据从表中删除掉。为了保险起见，推荐使用标记删除的形式，来模拟删除的动作。 所谓的标记删除，就是在表中设置类似于 status 这样的状态字段，来标记当前这条数据是否被删除。 当用户执行了删除的动作时，我们并没有执行 DELETE 语句把数据删除掉，而是执行了 UPDATE 语句，将这条数据对应 的 status 字段标记为删除即可。

服务端渲染的概念:服务器发送给客户端的 HTML 页面，是在服务器通过字符串的拼接，动态生成的。因此，客户端不 需要使用 Ajax 这样的技术额外请求页面的数据。代码示例如下:

优点: 1 前端耗时少。因为服务器端负责动态生成 HTML 内容，浏览器只需要直接渲染页面即可。尤其是移动端，更省电。 2 有利于SEO。因为服务器端响应的是完整的 HTML 页面内容，所以爬虫更容易爬取获得信息，更有利于 SEO。

缺点: 1 占用服务器端资源。即服务器端完成 HTML 页面内容的拼接，如果请求较多，会对服务器造成一定的访问压力。 2 不利于前后端分离，开发效率低。使用服务器端渲染，则无法进行分工合作，尤其对于前端复杂度高的项目，不利于 项目高效开发。

前后端分离的概念:前后端分离的开发模式，依赖于 Ajax 技术的广泛应用。简而言之，前后端分离的 Web 开发模式， 就是后端只负责提供 API 接口，前端使用 Ajax 调用接口的开发模式。

前后端分离的优缺点

不谈业务场景而盲目选择使用何种开发模式都是耍流氓。

身份认证(Authentication)又称“身份验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。 ⚫ 日常生活中的身份认证随处可见，例如:高铁的验票乘车，手机的密码或指纹解锁，支付宝或微信的支付密码等。 ⚫ 在 Web 开发中，也涉及到用户身份的认证，例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。

身份认证的目的，是为了确认当前所声称为某种身份的用户，确实是所声称的用户。例如，你去找快递员取快递，你要怎 么证明这份快递是你的。

对于服务端渲染和前后端分离这两种开发模式来说，分别有着不同的身份认证方案:

HTTP 协议的无状态性，指的是客户端的每次 HTTP 请求都是独立的，连续多个请求之间没有直接的关系，服务器不会 主动保留每次 HTTP 请求的状态。

对于超市来说，为了方便收银员在进行结算时给 VIP 用户打折，超市可以为每个 VIP 用户发放会员卡。

注意:现实生活中的会员卡身份认证方式，在 Web 开发中的专业术语叫做 Cookie。

Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一个值(Value)和其它几个用 于控制 Cookie 有效期、安全性、使用范围的可选属性组成。 不同域名下的 Cookie 各自独立，每当客户端发起请求时，会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。

Cookie的几大特性:

客户端第一次请求服务器的时候，服务器通过响应头的形式，向客户端发送一个身份认证的 Cookie，客户端会自动 将 Cookie 保存在浏览器中。 随后，当客户端浏览器每次请求服务器的时候，浏览器会自动将身份认证相关的 Cookie，通过请求头的形式发送给 服务器，服务器即可验明客户端的身份。

由于 Cookie 是存储在浏览器中的，而且浏览器也提供了读写 Cookie 的 API，因此 Cookie 很容易被伪造，不具有安全 性。因此不建议服务器将重要的隐私数据，通过 Cookie 的形式发送给浏览器。

注意:千万不要使用 Cookie 存储重要且隐私的数据!比如用户的身份信息、密码等。

为了防止客户伪造会员卡，收银员在拿到客户出示的会员卡之后，可以在收银机上进行刷卡认证。只有收银机确认存在的 会员卡，才能被正常使用。

这种“会员卡 + 刷卡认证”的设计理念，就是 Session 认证机制的精髓。

在 Express 项目中，只需要安装 express-session 中间件，即可在项目中使用 Session 认证:

express-session 中间件安装成功后，需要通过 app.use() 来注册 session 中间件，示例代码如下:

当 express-session 中间件配置成功后，即可通过 req.session 来访问和使用 session 对象，从而存储用户的关键信息:

可以直接从 req.session 对象上获取之前存储的数据，示例代码如下:

调用 req.session.destroy() 函数，即可清空服务器保存的 session 信息。

Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问，所以，当涉及到前端跨域请求后端接 口的时候，需要做很多额外的配置，才能实现跨域 Session 认证。

注意: ⚫ 当前端请求后端接口不存在跨域问题的时候，推荐使用 Session 身份认证机制。 ⚫ 当前端需要跨域请求后端接口的时候，不推荐使用 Session 身份认证机制，推荐使用 JWT 认证机制。

JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。

总结:用户的信息通过 Token 字符串的形式，保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。

JWT 通常由三部分组成，分别是 Header(头部)、Payload(有效荷载)、Signature(签名)。 三者之间使用英文的“.”分隔，格式如下:

下面是 JWT 字符串的示例:

JWT 的三个组成部分，从前到后分别是 Header、Payload、Signature。 其中: ⚫ Payload 部分才是真正的用户信息，它是用户信息经过加密之后生成的字符串。 ⚫ Header 和 Signature 是安全性相关的部分，只是为了保证 Token 的安全性。

客户端收到服务器返回的 JWT 之后，通常会将它储存在 localStorage 或 sessionStorage 中。 此后，客户端每次与服务器通信，都要带上这个 JWT 的字符串，从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中，格式如下:

运行如下命令，安装如下两个 JWT 相关的包:

其中: ⚫ jsonwebtoken 用于生成 JWT 字符串 ⚫ express-jwt 用于将 JWT 字符串解析还原成 JSON 对象

使用 require() 函数，分别导入 JWT 相关的两个包:

为了保证 JWT 字符串的安全性，防止 JWT 字符串在网络传输过程中被别人破解，我们需要专门定义一个用于加密和解密 的 secret 密钥: 1 当生成 JWT 字符串的时候，需要使用 secret 密钥对用户的信息进行加密，最终得到加密好的 JWT 字符串 2 当把 JWT 字符串解析还原成 JSON 对象的时候，需要使用 secret 密钥进行解密

调用 jsonwebtoken 包提供的 sign() 方法，将用户的信息加密成 JWT 字符串，响应给客户端:

客户端每次在访问那些有权限接口的时候，都需要主动通过请求头中的 Authorization 字段，将 Token 字符串发 送到服务器进行身份认证。 此时，服务器可以通过 express-jwt 这个中间件，自动将客户端发送过来的 Token 解析还原成 JSON 对象:

当 express-jwt 这个中间件配置成功之后，即可在那些有权限的接口中，使用 req.user 对象，来访问从 JWT 字符串 中解析出来的用户信息了，示例代码如下:

当使用 express-jwt 解析 Token 字符串时，如果客户端发送过来的 Token 字符串过期或不合法，会产生一个解析失败 的错误，影响项目的正常运行。我们可以通过 Express 的错误中间件，捕获这个错误并进行相关的处理，示例代码如下: