摘要：在使用過程中我們可以通過增加哈希次數(shù)來提高數(shù)據(jù)的安全性。當(dāng)然，對密碼的哈希操作應(yīng)該在保存數(shù)據(jù)之前。

毫無疑問，幾乎所有的應(yīng)用都會(huì)涉及到數(shù)據(jù)存儲(chǔ)。但是 Express 框架本身只能通過程序變量來保存數(shù)據(jù)，它并不提供數(shù)據(jù)持久化功能。而僅僅通過內(nèi)存來保存數(shù)據(jù)是無法應(yīng)對真實(shí)場景的。因?yàn)閮?nèi)存本身并不適用于大規(guī)模的數(shù)據(jù)儲(chǔ)存而且服務(wù)停止后這些數(shù)據(jù)也會(huì)消失。雖然我們還可以通過文件的形式保存數(shù)據(jù)，但是文件中的數(shù)據(jù)對于查詢操作明顯不友好。所有，接下來我們將學(xué)習(xí)如何在 Express 中通過 MongoDB 數(shù)據(jù)庫的形式來對數(shù)據(jù)進(jìn)行持久化存儲(chǔ)。

本文包含的主要內(nèi)容有：

MongoDB 是如何工作的。

如何使用 Mongoose 。

如何安全的創(chuàng)建用戶賬戶。

如何使用用戶密碼進(jìn)行授權(quán)操作。

對于 Web 應(yīng)用來說，通常數(shù)據(jù)庫的選擇可以劃分為兩大類：關(guān)系型和非關(guān)系型。其中前者優(yōu)點(diǎn)類型于電子表格，它的數(shù)據(jù)是結(jié)構(gòu)化并且伴隨著嚴(yán)格規(guī)定。典型的關(guān)系型數(shù)據(jù)庫包括：MySQL、 SQL Server 以及 PostgreSQL。而后者通常也被稱為 NoSQL 數(shù)據(jù)庫，它的結(jié)構(gòu)相對更加靈活，而這一點(diǎn)與 JS 非常類似。

但是為什么 Node 開發(fā)者會(huì)特別中意 NoSQL 中的 Mongo 數(shù)據(jù)庫，還形成了流行的 MEAN 技術(shù)棧呢？

第一個(gè)原因是：Mongo 是 NoSQL 類型數(shù)據(jù)里最流行的一個(gè)。這也讓網(wǎng)上關(guān)于 Mogon 的資料非常豐富，所有你在實(shí)際使用過程中可能會(huì)遇到的坑大幾率都能找到答案。而且作為一個(gè)成熟的項(xiàng)目，Mongo 也已經(jīng)被大公司認(rèn)可和應(yīng)用。

另一個(gè)原因則是 Mongo 自身非?？煽?、有特色。它使用高性能的 C++ 進(jìn)行底層實(shí)現(xiàn)，也讓它贏得了大量的用戶信賴。

雖然 Mongo 不是用 JavaScript 實(shí)現(xiàn)的，但是原生的 shell 卻使用的是 JavaScript 語言。這意味著可以使用 JavaScript 在控制臺操作 Mongo 。另外，對于 Node 開發(fā)者來說它也減少了學(xué)習(xí)新語言的成本。

當(dāng)然，Mongo 并不是所有 Express 應(yīng)用的正確選擇，關(guān)系數(shù)據(jù)庫依然占據(jù)著非常重要的地位。順便提一下，NoSQL 中的 CouchDB 功能也非常強(qiáng)大。

注意：雖然本文只會(huì)介紹 Mongo 以及 Mongoose 類庫的使用。但是如果你和我一樣對 SQL 非常熟悉并且希望在 Express 使用關(guān)系數(shù)據(jù)庫的話，你可以去查看 Sequelize。它為很多關(guān)系型數(shù)據(jù)庫提供了良好的支持。

在正式使用 Mongo 前，我們先來看看 Mongo 是如何工作的。

對于大多數(shù)應(yīng)用來說都會(huì)在服務(wù)器中使用 Mongo 這樣的數(shù)據(jù)庫來進(jìn)行持久化工作。雖然，你可以在一個(gè)應(yīng)用中創(chuàng)建多個(gè)數(shù)據(jù)庫，但是絕大多數(shù)都只會(huì)使用一個(gè)。

如果你想正常訪問這些數(shù)據(jù)庫的話，首先你需要運(yùn)行一個(gè) Mongo 服務(wù)?？蛻舳送ㄟ^給服務(wù)端發(fā)送指令來實(shí)現(xiàn)對數(shù)據(jù)庫的各種操作。而連接客戶端與服務(wù)端的程序通常都被稱為數(shù)據(jù)庫驅(qū)動(dòng)。對于 Mongo 數(shù)據(jù)庫來說它在 Node 環(huán)境下的數(shù)據(jù)庫驅(qū)動(dòng)程序是 Mongoose。

每個(gè)數(shù)據(jù)庫都會(huì)有一個(gè)或多個(gè)類似于數(shù)組一樣的數(shù)據(jù)集合。例如，一個(gè)簡單的博客應(yīng)用，可能就會(huì)有文章集合、用戶集合。但是這些數(shù)據(jù)集合的功能遠(yuǎn)比數(shù)組來的強(qiáng)大。例如，你可以查詢集合中 18 歲以上的用戶。

而每一個(gè)集合里面存儲(chǔ)了 JSON 形式的文檔，雖然在技術(shù)上并沒有采用 JSON。每一個(gè)文檔都對應(yīng)一條記錄，而每一條記錄都包含若干個(gè)字段屬性。另外，同一集合里的文檔記錄并不一定擁有一樣的字段屬性。這也是 NoSQL 與 關(guān)系型數(shù)據(jù)庫最大的區(qū)別之一。

實(shí)際上文檔在技術(shù)上采用的是簡稱為 BSON 的 Binary JSON。在實(shí)際寫代碼過程中，我們并不會(huì)直接操作 BSON 。多數(shù)情況下會(huì)將其轉(zhuǎn)化為 JavaScript 對象。另外，BSON 的編碼和解碼方式與 JSON 也有不同。BSON 支持的類型也更多，例如，它支持日期、時(shí)間戳。下圖展示了應(yīng)用中數(shù)據(jù)庫使用結(jié)構(gòu)：

最后還有一點(diǎn)非常重要：Mongo 會(huì)給每個(gè)文檔記錄添加一個(gè) _id 屬性，用于標(biāo)示該記錄的唯一性。如果兩個(gè)同類型的文檔記錄的 id 屬性一致的話，那么就可以推斷它們是同一記錄。

如果你有關(guān)系型數(shù)據(jù)庫的知識背景的話，其實(shí)你會(huì)發(fā)現(xiàn) Mongo 很多概念是和 SQL 意義對應(yīng)的。

首先， Mongo 中的文檔概念其實(shí)就相當(dāng)于 SQL 中的一行記錄。在應(yīng)用的用戶系統(tǒng)中，每一個(gè)用戶在 Mongo 中是一個(gè)文檔而在 SQL 中則對應(yīng)一條記錄。但是與 SQL 不同的是，在數(shù)據(jù)庫層 Mongo 并沒有強(qiáng)制的 schema，所以一條沒有用戶名和郵件地址的用戶記錄在 Mongo 中是合法的。

其次，Mongo 中的集合對應(yīng) SQL 中的表，它們都是用來存儲(chǔ)同一類型的記錄。

同樣，Mongo 中的數(shù)據(jù)庫也和 SQL 數(shù)據(jù)庫概念非常相似。通常一個(gè)應(yīng)用只會(huì)有一個(gè)數(shù)據(jù)庫，而數(shù)據(jù)庫內(nèi)部則可以包含多個(gè)集合或者數(shù)據(jù)表。

更多的術(shù)語對應(yīng)表可以去查看官方的這篇文檔。

在使用之前，首要的任務(wù)當(dāng)然就是機(jī)器上安裝 Mongo 數(shù)據(jù)庫并拉起服務(wù)了。如果你的機(jī)器是 macOS 系統(tǒng)并且不喜歡命令行模式的話，你可以通過安裝 Mongo.app 應(yīng)用完成環(huán)境搭建。如果你熟悉命令行交互的話可以通過 Homebrew 命令 brew install mongodb 進(jìn)行安裝。

Ubuntu 系統(tǒng)可以參照文檔，同時(shí) Debian 則可以參照文檔 進(jìn)行 Mongo 安裝。

另外，在本書中我們會(huì)假設(shè)你安裝是使用的 Mongo 數(shù)據(jù)庫的默認(rèn)配置。也就是說你沒有對 Mongo 的服務(wù)端口號進(jìn)行修改而是使用了默認(rèn)的 27017 。

安裝 Mongo 后接下來問題就是如何在 Node 環(huán)境中操作數(shù)據(jù)庫。這里最佳的方式就是使用官方的 [Mongoose] [6]類庫。其官方文檔描述為：

Mongoose 提供了一個(gè)直觀并基于 schema 的方案來應(yīng)對程序的數(shù)據(jù)建模、類型轉(zhuǎn)換、數(shù)據(jù)驗(yàn)證等常見數(shù)據(jù)庫問題。

換句話說，除了充當(dāng) Node 和 Mongo 之間的橋梁之外，Mongoose 還提供了更多的功能。下面，我們通過構(gòu)建一個(gè)帶用戶系統(tǒng)的簡單網(wǎng)站來熟悉 Mongoose 的特性。

為了更好的學(xué)習(xí)本文的內(nèi)容，下面我們會(huì)開發(fā)一個(gè)簡單的社交應(yīng)用。該應(yīng)用將會(huì)實(shí)現(xiàn)用戶注冊、個(gè)人信息編輯、他人信息的瀏覽等功能。這里我們將它稱為 Learn About Me 或者簡稱為 LAM 。應(yīng)用中主要包含以下頁面：

主頁，用于列出所有的用戶并且可以點(diǎn)擊查看用戶詳情。

個(gè)人信息頁，用于展示用戶姓名等信息。

用戶注冊頁。

用戶登錄頁。

和之前一樣，首先我們需要新建工程目錄并編輯 package.json 文件中的信息：

{
    "name": "learn-about-me",
    "private": true,
    "scripts": {
        "start": "node app"
    },
    "dependencies": {
        "bcrypt-nodejs": "0.0.3",
        "body-parser": "^1.6.5",
        "connect-flash": "^0.1.1",
        "cookie-parser": "^1.3.2",
        "ejs": "^1.0.0",
        "express": "^4.0.0",
        "express-session": "^1.7.6",
        "mongoose": "^3.8.15",
        "passport": "^0.2.0",
        "passport-local": "^1.0.0"
    }
}

接下來，運(yùn)行 npm install 安裝這些依賴項(xiàng)。在后面的內(nèi)容中將會(huì)一一對這些依賴項(xiàng)的作用進(jìn)行介紹。

需要注意的是，這里我們引入了一個(gè)純 JS 實(shí)現(xiàn)的加密模塊 bcrypt-nodejs 。其實(shí) npm 中還有一個(gè)使用 C 語言實(shí)現(xiàn)的加密模塊 bcrypt 。雖然 bcrypt 性能更好，但是因?yàn)樾枰幾g C 代碼所有安裝起來沒 bcrypt-nodejs 簡單。不過，這兩個(gè)類庫功能一致可以進(jìn)行自由切換。

前面說過 Mongo 是以 BSON 形式進(jìn)行數(shù)據(jù)存儲(chǔ)的。例如，Hello World 的 BSON 表現(xiàn)形式為：

x16x00x00x00x02hellox00x06x00x00x00worldx00x00

雖然計(jì)算機(jī)完全能夠理解 BSON 格式，但是很明顯 BSON 對人類來說并不是一種易于閱讀的格式。因此，開發(fā)者發(fā)明了更易于理解的數(shù)據(jù)庫模型概念。數(shù)據(jù)庫模型以一種近似人類語言的方式對數(shù)據(jù)庫對象做出了定義。一個(gè)模型代表了一個(gè)數(shù)據(jù)庫記錄，通常也代表了編程語言中的對象。例如，這里它就代表一個(gè) JavaScript 對象。

除了表示數(shù)據(jù)庫的一條記錄之外，模型通常還伴隨數(shù)據(jù)驗(yàn)證、數(shù)據(jù)拓展等方法。下面通過具體示例來見識下 Mongoose 中的這些特性。

在示例中，我們將創(chuàng)建一個(gè)用戶模型，該模型帶有以下屬性：

用戶名，該屬性無法缺省且要求唯一。

密碼，同樣無法缺省。

創(chuàng)建時(shí)間。

用戶昵稱，用于信息展示且可選。

個(gè)人簡介，非必須屬性。

在 Mongoose 中我們使用 schema 來定義用戶模型。除了包含上面的屬性之外，之后還會(huì)在其中添加一些類型方法。在項(xiàng)目的根目錄創(chuàng)建 models 文件夾，然后在其中創(chuàng)建一個(gè)名為 user.js 的文件并復(fù)制下面代碼：

var mongoose = require("mongoose");
var userSchema = mongoose.Schema({
    username: { type: String, require: true, unique: true },
    password: { type: String, require: true },
    createdAt: {type: Date, default: Date.now },
    displayName: String,
    bio: String
});

從上面的代碼中，我們能看到屬性字段的定義非常簡單。同時(shí)我們還對字段的數(shù)據(jù)類型、唯一性、缺省、默認(rèn)值作出了約定。

當(dāng)模型定義好之后，接下來就是在模型中定義方法了。首先，我們添加一個(gè)返回用戶名稱的簡單方法。如果用戶定義了昵稱則返回昵稱否則直接返回用戶名。代碼如下：

...

userSchema.methods.name = function() {
    return this.displayName || this.username;
}

同樣，為了確保數(shù)據(jù)庫中用戶信息安全，密碼字段必須以密文形式存儲(chǔ)。這樣即使出現(xiàn)數(shù)據(jù)庫泄露或者入侵行為也能載一定程度上確保用戶信息的安全。這里我們將會(huì)使用對 Bcrypt 程序?qū)τ脩裘艽a進(jìn)行單向哈希散列，然后在數(shù)據(jù)庫中存儲(chǔ)加密后的結(jié)果。

首先，我們需要在 user.js 文件頭部引入 Bcrypt 類庫。在使用過程中我們可以通過增加哈希次數(shù)來提高數(shù)據(jù)的安全性。當(dāng)然，哈希操作是非常操作，所以我們應(yīng)該選取一個(gè)相對適中的數(shù)值。例如，下面的代碼中我們將哈希次數(shù)設(shè)定為了 10 。

var bcrypt = require("bcrypt-nodejs");
var SALT_FACTOR = 10;

當(dāng)然，對密碼的哈希操作應(yīng)該在保存數(shù)據(jù)之前。所以這部分代碼應(yīng)該在數(shù)據(jù)保存之前的回調(diào)函數(shù)中完成，代碼如下：

...

var noop = function() {};
// 保存操作之前的回調(diào)函數(shù)
userSchema.pre("save", function(done) {
    var user = this;
    if (!user.isModified("password")) {
        return done();
    }
   
    bcrypt.genSalt(SALT_FACTOR, function(err, salt) {
        if (err) { 
            return done(err); 
        }
        
        bcrypt.hash(user.password, salt, noop, 
            function(err, hashedPassword) {
                if (err) {
                    return done(err); 
                }
                user.password = hashedPassword;
                done();
            }
        );
    });
});

該回調(diào)函數(shù)會(huì)在每次進(jìn)行數(shù)據(jù)庫保存之前被調(diào)用，所以它能確保你的密碼會(huì)以密文形式得到保存。

處理需要對密碼進(jìn)行加密處理之外，另一個(gè)常見需求就是用戶授權(quán)驗(yàn)證了。例如，在用戶登錄操作時(shí)的密碼驗(yàn)證操作。

...

userSchema.methods.checkPassword = function(guess, done) {
    bcrypt.compare(guess, this.password, function(err, isMatch) {
        done(err, isMatch);
    });
}

出于安全原因，這里我們使用的是 bcrypt.compare 函數(shù)而不是簡單的相等判斷 === 。

完成模型定義和通用方法實(shí)現(xiàn)后，接下來我們就需要將其暴露出來供其他代碼使用了。不過暴露模型的操作非常簡單只需兩行代碼：

...

var User = mongoose.model("User", userSchema);
module.exports = User;

models/user.js 文件中完整的代碼如下：

// 代碼清單 8.8 models/user.js編寫完成之后
var bcrypt = require("bcrypt-nodejs");
var SALT_FACTOR = 10;
var mongoose = require("mongoose");
var userSchema = mongose.Schema({
    username: { type: String, require: true, unique: true },
    password: { type: String, require: true },
    createdAt: {type: Date, default: Date.now },
    displayName: String,
    bio: String
});
userSchema.methods.name = function() {
    return this.displayName || this.username;
}

var noop = function() {};

userSchema.pre("save", function(done) {
    var user = this;
    if (!user.isModified("password")) {
        return done();
    }

    bcrypt.genSalt(SALT_FACTOR, function(err, salt) {
        if (err) { return done(err); }
        bcrypt.hash(user.password, salt, noop, 
            function(err, hashedPassword) {
                if (err) { return done(err); }
                user.password = hashedPassword;
                done();
            }
        );
    });
});
userSchema.methods.checkPassword = function(guess, done) {
    bcrypt.compare(guess, this.password, function(err, isMatch) {
        done(err, isMatch);
    });
}
var User = mongoose.model("User", userSchema);
module.exports = User;

模型定義好之后，接下來就是在主頁、編輯頁面、注冊等頁面進(jìn)行使用了。相比于之前的模型定義，使用過程相對來說要更簡單。

首先，在項(xiàng)目根目錄創(chuàng)建主入口文件 app.js 并復(fù)制下面的代碼：

var express = require("express");
var mongoose = require("mongoose");
var path = require("path");
var bodyParser = require("body-parser");
var cookieParser = require("cookie-parser");
var session = require("express-session");
var flash = require("connect-flash");

var routes = require("./routes");
var app = express();

// 連接到你MongoDB服務(wù)器的test數(shù)據(jù)庫
mongoose.connect("mongodb://localhost:27017/test");
app.set("port", process.env.PORT || 3000);
app.set("views", path.join(__dirname, "views"));
app.set("view engine", "ejs");

app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(session({
    secret: "TKRv0IJs=HYqrvagQ#&!F!%V]Ww/4KiVs$s,<
接下來，我們需要實(shí)現(xiàn)上面使用到的路由中間件。在根目錄新建 routes.js 并復(fù)制代碼：
var express = require("express");
var User = require("./models/user");
var router = express.Router();
router.use(function(req, res, next) {
    res.locals.currentUser = req.user;
    res.locals.errors = req.flash("error");
    res.locals.infos = req.flash("info");
    next();
});
router.get("/", function(req, res, next) {
    User.find()
        .sort({ createdAt: "descending" })
        .exec(function(err, users) {
            if (err) { return next(err); }
            res.render("index", { users: users });
        });
});
module.exports = router;
這兩段代碼中，首先，我們使用 Mongoose 進(jìn)行了數(shù)據(jù)庫連接。然后，在路由中間件中通過 User.find 異步獲取用戶列表并將其傳遞給了主頁視圖模版。
接下來，我們就輪到主頁視圖的實(shí)現(xiàn)了。首先在根目錄創(chuàng)建 views 文件夾，然后在文件夾中添加第一個(gè)模版文件 _header.ejs ：



    
    
    


    
    

        <% errors.forEach(function(error) { %>
            

                <%= error %>
            
        <% }) %>
        <% infos.forEach(function(info) { %>
            

                <%= info %>
            
        <% }) %>
你可能注意到了這些文件的名字是以下劃線開始的。這是一個(gè)社區(qū)約定，所有組件模版都會(huì)以下劃線進(jìn)行區(qū)分。
接下來，添加第二個(gè)通用組件模版 _footer.js：