流程
用户打开sign_up注册,向服务器发送post请求,发送email,password,password_confirmation;
服务器验证通过,把用户信息写进数据库,并告诉用户注册成功;
用户打开sign_in登录,发送post请求,发送email和password;
服务器认证通过,Set-Cookie;
用户带着Cookie打开首页,发送get请求;
服务器读取Cookie,从Cookie中得到email,根据email从数据库找到匹配的用户信息写入页面;
这样登录的用户进入首页时可以看到自己的信息;
没有登录的访客进入首页看到不同的页面。
首先,写一个简单的注册页面sign_up.html(前端)
注册
把用户输入的内容放到一个哈希中(前端)
let $form = $('#signUpForm')
let hash = {}
$form.on('submit', (e) => {
e.preventDefault()
let need = ['email', 'password', 'password_confirmation']
need.forEach( (name) => {
let value = $form.find(`[name = ${name}]`).val()
hash[name] = value
})
}) //得到的hash为 {email: "xx", password: "xx", password_confirmation: "xx"}
给server.js里添加一个路由,如果请求路径是/sign_up,就显示当前目录下的sign_up.html文件(后端)
if(path === '/sign_up'){
let string = fs.readFileSync('./sign_up.html', 'utf8')
response.statusCode = 200
response.setHeader('Content-Type', 'text/html;charset=utf-8')
response.write(string)
response.end()
}
node server 8080 打开server,访问http://localhost:8080/sign_up就可以看到我们写的注册页面。
尝试发送一个Ajax post请求:jQuery.post() (前端)
$.post('/sign_up', hash)
.then( (response) => {
console.log(response) //得到一串符合html格式的字符串
}, () => {
console.log(‘error’)
})
打印出来一个html格式的字符串,因为server.js中写明了只要请求路径是/sign_up就表示请求成功,返回字符串。
由于这是一个post请求,如果在路由里将请求方式的限制为get,则会打印出‘error’:(后端)
if(path === '/sign_up' && method === 'GET'){
let string = fs.readFileSync('./sign_up.html', 'utf8')
response.statusCode = 200
response.setHeader('Content-Type', 'text/html;charset=utf-8')
response.write(string)
response.end()
}
所以要再添加一个请求方式为post的路由:(后端)
if(path === '/sign_up' && method === 'POST'){
readBody(request).then( (body) => {
response.statusCode = 200
response.end()
})
} //用户post到/sign_up, 服务器读取到请求的第四部分(Form Data),得到字符串'email=1&password=2&password_confirmation=3'
//由于请求的第四部分(Form Data)是分段上传的,Node.js无法直接读到其内容,封装以下函数:
//作用是获取请求第四部分数据,并返回一个Promise对象
function readBody(request){
return new Promise((resolve, reject)=>{
let body = []
request.on('data', (chunk) => {
body.push(chunk);
}).on('end', () => {
body = Buffer.concat(body).toString();
resolve(body)
})
})
}
现在用户向sign_up发送post请求,服务器得到的请求的第四部分是一个字符串'email=1&password=2&password_confirmation=3'
,使用split()方法将其变成哈希:(后端)
let strings = body.split('&') // ['email=1', 'password=2', 'password_confirmation=3']
let hash = {}
strings.forEach((string) => {
let parts = string.split('=') // ['email', '1']
let key = parts[0]
let value = parts[1]
hash[key] = (value) // hash['email'] = '1'
})
以上所做的事情总结起来就是:
客户端收集form表单内容到一个hash中,作为一个字符串传给服务端,
服务端以一个字符串的形式拿到表单内容,
再将其还原为一个hash。
这就是前端向后台传数据的方式:前端把所有东西变成一个字符串传给后台,后台从字符串里按照所要的结构解析出来。
现在服务器有了一个包含表单信息的hash,继续进行验证:(后台)
let {email, password, password_confirmation} = hash
if(email.indexOf('@') === -1){ //验证用户输入的邮箱中是否有@
response.statusCode = 400
response.setHeader('Content-Type', 'application/json;charset=utf-8') //jQuery只要发现响应中说了这是json就会自动JSON.parse()
response.write(`{
"errors": {
"email": "invalid"
}
}`)
}else if(password !== password_confirmation){ //验证两次输入的密码是否匹配
response.statusCode = 400
response.write('password not match')
}else{
response.statusCode = 200
}
(前端)
$.post('/sign_up', hash)
.then( (response) => {
console.log(response)
}, (request) => {
let {errors} = request.responseJSON
if(errors.email && errors.email === 'invalid'){
$form.find('[name = "email"]').siblings('.error')
.text('邮箱格式错误')
}
})
前端也可以在发起请求之前进行一些验证:(前端)jQuery.each()
$form.find('.error').each( (index, span) => {
$(span).text('')
})
if(hash['email'] === ''){
$form.find('[name = "email"]').siblings('.error')
.text('填邮箱呀同学')
return
}
if(hash['password'] === ''){
$form.find('[name = "password"]').siblings('.error')
.text('设密码呀同学')
return
}
if(hash['password_confirmation'] === ''){
$form.find('[name = "password_confirmation"]').siblings('.error')
.text('验密码呀同学')
return
}
if(hash['password'] !== hash['password_confirmation']){
$form.find('[name = "password_confirmation"]').siblings('.error')
.text('密码不匹配')
return
}
现在,我们实现的功能是邮箱、密码、验证密码必填,密码与验证密码相同(前端验证),邮箱中必须有'@'(后端验证)。
由于前后端代码都是JS,所以后端的验证前端都能做到。但是前端可以不验,后端必须要验。例如用crul发请求的话,可以直接与服务器交流。所以不能依赖浏览器上的JS,必须确保后端是安全的。
验证成功之后,服务器需要将得到的信息保存到数据库中。这里我们在当前目录下创建db/users文件作为数据库,初始化为一个空数组[]。(后端)
var users = fs.readFileSync('./db/users', 'utf8')
try{
users = JSON.parse(users) // 如果users不符合JSON语法就放弃它,把它变成空数组
}catch(exception){
users = []
}
users.push({email: email, password: password})
var usersString = JSON.stringify(users) //对象不能直接存,将其变成字符串
fs.writeFileSync('./db/users', usersString)
response.statusCode = 200
现在有个问题,同一个邮箱可以多次注册。服务器可以在将信息存入数据库之前验证邮箱是否已注册:(后端)
var users = fs.readFileSync('./db/users', 'utf8')
try {
users = JSON.parse(users) // 如果users不符合JSON语法就放弃它,把它变成空数组
} catch (exception) {
users = []
}
let inUse = false
for(let i=0; i
至此注册过程完成。接着来做登录功能。
首先写一个登录页面sign_in.html:(前端)
登录
在服务器上给sign_in.html写一个路由:(后端)
else if (path === '/sign_in' && method === 'GET') {
let string = fs.readFileSync('./sign_in.html', 'utf8')
response.statusCode = 200
response.setHeader('Content-Type', 'text/html;charset=utf-8')
response.write(string)
response.end()
} else if (path === '/sign_in' && method === 'POST') {
readBody(request).then((body) => {
let strings = body.split('&') // ['email=1', 'password=2']
let hash = {}
strings.forEach((string) => {
let parts = string.split('=') // ['email', '1']
let key = parts[0]
let value = parts[1]
hash[key] = decodeURIComponent(value) // hash['email'] = '1'
})
response.end()
})
}
登录页面与注册页面相似,客户端将表单信息收集到一个哈希中,在发起请求时传一个字符串给后端;后端将得到的字符串解析为哈希。
后端得到包含email和password的哈希后,与数据库进行对比(看数据库里有没有一样的email和password),认证用户:(后端)
let { email, password } = hash
var users = fs.readFileSync('./db/users', 'utf8')
try {
users = JSON.parse(users) // []
} catch (exception) {
users = []
}
let found
for (let i = 0; i < users.length; i++) {
if (users[i].email === email && users[i].password === password) {
found = true
break
}
}
if (found) {
response.statusCode = 200
} else {
response.statusCode = 401
}
登录成功时跳转到首页:(前端)
$.post('/sign_in', hash)
.then( (response) => {
window.location.href = '/'
}, (request) => {
alert('邮箱与密码不匹配')
})
现在有一个问题:即使没有登录,用户也可以直接访问首页,与登录后看到的页面相同。
这里我们需要用到Cookies。HTTP Set-Cookie
服务器在认证用户成功后,给返回的响应头中添加Set-Cookie
:(后端)
if (found) {
response.setHeader('Set-Cookie', `sign_in_email=${email}`)
response.statusCode = 200
}
通过用户登录成功的瞬间设置cookie,在后台用 response.setHeader('Set-Cookie', 'sign_in_email = ${email}')
设置,之后用户每次访问的时候都会带上cookie。
选中开发者工具的Preserve log,再次登录。
我们可以看到,在向sign_in发起请求时,得到的响应头中有一项Set-Cookie: [email protected],而请求成功后接着对主页发起的请求的请求头中带着这个Cookie:Cookie: [email protected]。
这就是Cookie的作用:服务器响应中给页面发送一个Cookie,之后同源发起的请求都带着这个Cookie作为识别。
理解:第一次进公园时售票员给你两天的票(Set-Cookie),票就是Cookie,两天内可以多次进入公园,每次都要带着票给售票员看。
cookie的作用
一般有两个作用:
- 第一个作用是识别用户身份。
比如用户 A 用浏览器访问了 http://a.com,那么 http://a.com 的服务器就会立刻给 A 返回一段数据「uid=1」(这就是 Cookie)。当 A 再次访问 http://a.com 的其他页面时,就会附带上「uid=1」这段数据。
同理,用户 B 用浏览器访问 http://a.com 时,http://a.com 发现 B 没有附带 uid 数据,就给 B 分配了一个新的 uid,为2,然后返回给 B 一段数据「uid=2」。B 之后访问 http://a.com 的时候,就会一直带上「uid=2」这段数据。
借此,http://a.com 的服务器就能区分 A 和 B 两个用户了。
- 第二个作用是记录历史。
假设 http://a.com 是一个购物网站,当 A 在上面将商品 A1 、A2 加入购物车时,JS 可以改写 Cookie,改为「uid=1; cart=A1,A2」,表示购物车里有 A1 和 A2 两样商品了。
这样一来,当用户关闭网页,过三天再打开网页的时候,依然可以看到 A1、A2 躺在购物车里,因为浏览器并不会无缘无故地删除这个 Cookie。
问题:
我在Chrome登录得到了Cookie,用Safari访问,Safari会带上Cookie吗?
no
Cookie存在哪?
Window存在C盘的一个文件里,其他系统也都存在硬盘的一个文件里。
Cookie能作假吗?
可以。Chrome开发者工具Application-Cookies就可以改。所以Cookie是不安全的。HttpOnly可以限制。
Cookie有有效期吗:
默认有效期20分钟左右,由浏览器决定。后端可以强制设置有效期。