Express.js 零基础入门指南#

本指南将帮助您从零开始，逐步掌握 Express.js 框架，学会使用它构建强大的 Web 应用。

🗺️ 学习路径图#

graph TD A[开始学习] --> B{有 JavaScript 基础?} B -->|否| C[学习 JavaScript 基础 1-2周] B -->|是| D[学习 Node.js 基础 1周] C --> D D --> E[5分钟快速入门 先跑起来] E --> F[学习 Express.js 基础 2-3周] F --> G[实战练习 1-2周] G --> H[部署上线 1周] H --> I[完成入门!] style A fill:#e1f5ff style B fill:#fce4ec style C fill:#fff4e1 style D fill:#fff4e1 style E fill:#e8f5e9 style F fill:#fff9c4 style G fill:#fff9c4 style H fill:#ffccbc style I fill:#c8e6c9

学习建议：

⏰ 总时间：4-8 周（根据基础不同）
📅 每天学习：1-2 小时
🎯 学习方式：理论 + 实践相结合
🔄 循环学习：先快速浏览，再深入细节

目录#

第一步：了解什么是 Express.js
第二步：前置知识准备
第三步：5分钟快速入门
第四步：创建第一个 Express 应用（详细版）
第五步：路由基础
第六步：中间件
第七步：静态文件服务
第八步：请求处理
第九步：响应处理
第十步：模板引擎
第十一步：错误处理
第十二步：调试技巧
第十三步：RESTful API 设计
第十四步：数据库集成
第十五步：测试基础
第十六步：实战练习
第十七步：项目结构最佳实践
第十八步：部署上线
第十九步：学习资源推荐
第二十步：常见问题
第二十一步：性能优化
第二十二步：安全最佳实践
第二十三步：实时通信
第二十四步：GraphQL 入门
第二十五步：微服务架构
第二十六步：下一步

第一步：了解什么是 Express.js#

Express.js（简称 Express）是一个基于 Node.js 的轻量级 Web 应用框架，它提供了丰富的功能来帮助开发人员快速构建 Web 应用和 API。

Express.js 的特点#

✅ 简洁灵活：最小化核心，提供强大的扩展能力
✅ 丰富的中间件：通过中间件实现各种功能
✅ 强大的路由系统：支持灵活的路由定义
✅ 易于学习：对新手友好，文档完善
✅ 生态系统庞大：有大量的第三方包和工具

Express.js vs 原生 Node.js#

特性	原生 Node.js	Express.js
代码量	多	少
路由处理	手动实现	内置支持
中间件	需要自己实现	丰富的中间件生态
学习曲线	陡峭	平缓
适用场景	简单应用	中大型 Web 应用/API

第二步：前置知识准备#

在开始学习 Express.js 之前，您需要掌握以下基础知识：

必备知识#

JavaScript 基础：变量、函数、对象、数组等
Node.js 基础：模块系统、npm 包管理
HTTP 基础：请求方法（GET、POST 等）、状态码
命令行操作：基本的终端命令

WARNING
⚠️ 重要提醒：如果您还没有掌握以上基础知识，强烈建议先学习这些内容，否则学习 Express.js 会非常吃力。学习编程要循序渐进，打好基础是成功的关键！

第三步：5分钟快速入门#

目标：在 5 分钟内创建并运行你的第一个 Express.js 应用，先跑起来，再深入理解！

🚀 快速开始（3步搞定）#

第 1 步：创建项目（1分钟）#

打开终端，依次执行以下命令：

1
# 创建项目目录
2
mkdir my-express-app
3
cd my-express-app
4

5
# 初始化项目
6
npm init -y
7

8
# 安装 Express
9
npm install express

第 2 步：创建服务器（2分钟）#

创建一个名为 app.js 的文件，复制以下代码：

1
// 引入 Express
2
const express = require('express');
3

4
// 创建应用
5
const app = express();
6

7
// 定义路由：访问首页时返回"Hello, Express!"
8
app.get('/', (req, res) => {
9
  res.send('Hello, Express! 🎉');
10
});
11

12
// 启动服务器
13
app.listen(3000, () => {
14
  console.log('✅ 服务器已启动！访问 http://localhost:3000');
15
});

第 3 步：运行应用（1分钟）#

1
# 运行应用
2
node app.js

打开浏览器，访问 http://localhost:3000，你会看到：

1
Hello, Express! 🎉

恭喜！ 你已经成功创建了第一个 Express.js 应用！🎊

💡 现在发生了什么？#

让我们用简单的语言解释一下刚才的代码：

1
const express = require('express');

这行代码的意思是：

从 express 这个”工具箱”里取出 Express
就像从厨房拿出”菜刀”准备做饭

1
const app = express();

这行代码的意思是：

创建一个 Express 应用
就像准备好了一个”厨房”

1
app.get('/', (req, res) => {
2
  res.send('Hello, Express! 🎉');
3
});

这行代码的意思是：

当有人访问首页（/）时
返回”Hello, Express! 🎉”
就像客人来了，你给他端上一杯茶

1
app.listen(3000, () => {
2
  console.log('✅ 服务器已启动！访问 http://localhost:3000');
3
});

这行代码的意思是：

在 3000 端口启动服务器
就像打开餐厅的大门，准备迎接客人

🎯 试试修改代码#

让我们修改一下代码，让它更有趣：

1
const express = require('express');
2
const app = express();
3

4
// 添加更多路由
5
app.get('/', (req, res) => {
6
  res.send('🏠 欢迎来到我的网站！');
7
});
8

9
app.get('/about', (req, res) => {
10
  res.send('👋 这是关于页面');
11
});
12

13
app.get('/contact', (req, res) => {
14
  res.send('📧 联系我们：contact@example.com');
15
});
16

17
// 启动服务器
18
app.listen(3000, () => {
19
  console.log('✅ 服务器已启动！');
20
  console.log('🏠 首页：http://localhost:3000');
21
  console.log('👋 关于：http://localhost:3000/about');
22
  console.log('📧 联系：http://localhost:3000/contact');
23
});

现在你可以访问：

http://localhost:3000 - 首页
http://localhost:3000/about - 关于页面
http://localhost:3000/contact - 联系页面

🎉 常见问题#

Q: 我看到 “command not found” 错误

A: 说明你还没有安装 Node.js，请先访问 https://nodejs.org 下载并安装

Q: 端口 3000 被占用了怎么办？

A: 把 3000 改成其他数字，比如 3001：

1
app.listen(3001, () => {
2
  console.log('✅ 服务器已启动！访问 http://localhost:3001');
3
});

Q: 如何停止服务器？

A: 在终端按 Ctrl + C

🚀 下一步#

现在你已经成功运行了第一个 Express.js 应用！接下来：

继续学习：阅读后面的章节，深入了解 Express.js
动手实践：尝试修改代码，添加更多功能
查看文档：遇到问题时，查看 Express.js 官方文档

TIP
如果你还不太理解上面的代码，没关系！继续往下看，后面的章节会详细解释每一个概念。现在最重要的是先跑起来，建立信心！

第四步：创建第一个 Express 应用（详细版）#

4.1 初始化项目#

首先，创建一个新的项目目录并初始化：

1
# 创建项目目录
2
mkdir my-express-app
3
cd my-express-app
4

5
# 初始化 npm 项目
6
npm init -y
7

8
# 安装 Express
9
npm install express

4.2 创建基本的服务器#

创建一个名为 app.js 的文件：

1
// 引入 Express 模块
2
const express = require('express');
3

4
// 创建 Express 应用
5
const app = express();
6

7
// 定义端口
8
const PORT = 3000;
9

10
// 定义路由
11
app.get('/', (req, res) => {
12
  res.send('Hello, Express!');
13
});
14

15
// 启动服务器
16
app.listen(PORT, () => {
17
  console.log(`服务器运行在 http://localhost:${PORT}`);
18
});

4.3 运行应用#

1
# 运行应用
2
node app.js

打开浏览器访问 http://localhost:3000，您将看到 “Hello, Express!”。

TIP
在开发过程中，建议使用 nodemon 工具，它可以在代码修改后自动重启服务器：
Terminal window
1
npm install -D nodemon
2
nodemon app.js

第五步：路由基础#

路由是 Express.js 的核心功能之一，它决定了应用如何响应客户端请求。

5.1 基本路由#

1
// GET 请求
2
app.get('/', (req, res) => {
3
  res.send('首页');
4
});
5

6
// POST 请求
7
app.post('/users', (req, res) => {
8
  res.send('创建用户');
9
});
10

11
// PUT 请求
12
app.put('/users/:id', (req, res) => {
13
  res.send(`更新用户 ${req.params.id}`);
14
});
15

16
// DELETE 请求
17
app.delete('/users/:id', (req, res) => {
18
  res.send(`删除用户 ${req.params.id}`);
19
});

NOTE
💡 路由定义顺序很重要：Express.js 会按照路由定义的顺序进行匹配。具体路由应该放在通配路由之前，否则通配路由会先匹配，导致具体路由永远不会执行。

5.2 路由参数#

1
// 路由参数
2
app.get('/users/:userId', (req, res) => {
3
  const userId = req.params.userId;
4
  res.send(`用户 ID: ${userId}`);
5
});
6

7
// 多个参数
8
app.get('/posts/:year/:month', (req, res) => {
9
  const { year, month } = req.params;
10
  res.send(`文章归档: ${year}年${month}月`);
11
});

5.3 查询参数#

1
app.get('/search', (req, res) => {
2
  const { q, page } = req.query;
3
  res.send(`搜索: ${q}, 页码: ${page}`);
4
});
5

6
// 访问: /search?q=nodejs&page=1
7
// 输出: 搜索: nodejs, 页码: 1

5.4 路由模块化#

为了保持代码整洁，建议将路由单独放在一个文件中：

1
const express = require('express');
2
const router = express.Router();
3

4
router.get('/', (req, res) => {
5
  res.send('用户列表');
6
});
7

8
router.get('/:id', (req, res) => {
9
  res.send(`用户详情: ${req.params.id}`);
10
});
11

12
module.exports = router;

在主应用中使用路由：

1
const usersRouter = require('./routes/users');
2
app.use('/users', usersRouter);

第六步：中间件#

中间件是 Express.js 的一个重要概念，它可以访问请求对象（req）、响应对象（res）和下一个中间件函数。

🗺️ 中间件执行流程#

graph TD A[客户端请求] --> B[中间件 1 日志记录] B --> C[中间件 2 解析 JSON] C --> D[中间件 3 身份验证] D --> E{验证通过?} E -->|是| F[路由处理器 处理业务逻辑] E -->|否| G[错误处理中间件 返回 401] F --> H[响应中间件 设置响应头] H --> I[错误处理中间件 捕获错误] I --> J[返回响应给客户端] G --> J style A fill:#e1f5ff style B fill:#fff4e1 style C fill:#fff4e1 style D fill:#fff4e1 style E fill:#fce4ec style F fill:#e8f5e9 style G fill:#ffccbc style H fill:#fff4e1 style I fill:#ffccbc style J fill:#c8e6c9

中间件执行顺序：

请求进入应用
按照注册顺序依次执行中间件
每个中间件可以修改请求/响应对象
调用 next() 将控制权传递给下一个中间件
路由处理器执行业务逻辑
响应返回（可能经过响应中间件）
错误处理中间件捕获并处理错误

💡 什么是中间件？（通俗解释）#

中间件就像工厂的流水线，每个工位（中间件）都有特定的任务：

🏭 生活比喻：流水线#

想象一个汽车制造流水线：

1
原材料 → [工位1：检查材料] → [工位2：组装零件] → [工位3：喷漆] → [工位4：质检] → 成品

在 Express.js 中：

1
用户请求 → [中间件1：记录日志] → [中间件2：解析数据] → [中间件3：验证身份] → [路由处理器] → 响应

每个中间件就像流水线上的一个工位：

工位1（日志中间件）：记录”来了一个请求”
工位2（解析中间件）：把用户提交的数据整理好
工位3（验证中间件）：检查用户是否有权限
质检（错误处理中间件）：如果前面的工位出了问题，这里会处理

🧽 另一个比喻：过滤网#

中间件也像多层过滤网：

1
水 → [粗网：过滤大颗粒] → [细网：过滤小颗粒] → [活性炭：吸附杂质] → [消毒：杀菌] → 干净水

在 Express.js 中：

1
请求 → [日志中间件] → [解析中间件] → [验证中间件] → [路由处理器] → 响应

每一层过滤网（中间件）都会检查或处理请求，然后传递给下一层。

🎯 中间件的核心特点#

顺序执行：像流水线一样，按照注册的顺序依次执行
可以修改：每个中间件可以查看和修改请求/响应数据
可以终止：某个中间件可以决定不继续传递（比如验证失败）
可以跳过：某些中间件只对特定路由生效

📝 生活中的例子#

餐厅点餐流程：

门口服务员（中间件1）：欢迎顾客，记录人数
领位员（中间件2）：引导顾客到座位
服务员（中间件3）：介绍菜单，记录点餐
厨师（路由处理器）：烹饪食物
传菜员（中间件4）：检查菜品质量
服务员（中间件5）：上菜，结账

每个环节都是”中间件”，负责处理一部分任务，然后传递给下一个环节。

6.1 应用级中间件#

1
// 应用级中间件
2
app.use((req, res, next) => {
3
  console.log(`${new Date().toLocaleString()} - ${req.method} ${req.url}`);
4
  next();
5
});
6

7
// 路由级中间件
8
app.get('/admin', (req, res, next) => {
9
  // 验证逻辑
10
  const isAuthenticated = true;
11
  if (!isAuthenticated) {
12
    return res.status(401).send('未授权');
13
  }
14
  next();
15
}, (req, res) => {
16
  res.send('管理员页面');
17
});

6.2 内置中间件#

1
// 解析 JSON 请求体
2
app.use(express.json());
3

4
// 解析 URL 编码的请求体
5
app.use(express.urlencoded({ extended: true }));
6

7
// 静态文件服务
8
app.use(express.static('public'));

6.3 错误处理中间件#

1
// 错误处理中间件（必须放在最后）
2
app.use((err, req, res, next) => {
3
  console.error(err.stack);
4
  res.status(500).send('服务器错误！');
5
});

WARNING
⚠️ 重要：错误处理中间件必须放在所有路由和其他中间件之后，因为它需要捕获前面的所有错误。如果放在前面，后面的错误就无法被捕获了！

6.4 第三方中间件#

1
# 安装常用中间件
2
npm install morgan cors helmet

1
const morgan = require('morgan');
2
const cors = require('cors');
3
const helmet = require('helmet');
4

5
// 日志记录
6
app.use(morgan('dev'));
7

8
// 跨域支持
9
app.use(cors());
10

11
// 安全头设置
12
app.use(helmet());

第七步：静态文件服务#

Express.js 可以轻松地提供静态文件服务，如 HTML、CSS、JavaScript、图片等。

7.1 基本用法#

1
// 设置静态文件目录
2
app.use(express.static('public'));
3

4
// 访问 public/index.html
5
// URL: http://localhost:3000/index.html
6

7
// 访问 public/images/logo.png
8
// URL: http://localhost:3000/images/logo.png

7.2 多个静态目录#

1
// 主静态文件目录
2
app.use(express.static('public'));
3

4
// 上传文件目录
5
app.use('/uploads', express.static('uploads'));

7.3 虚拟路径#

1
// 使用虚拟路径
2
app.use('/static', express.static('public'));
3

4
// 实际文件: public/index.html

第八步：请求处理#

🗺️ 请求-响应生命周期#

sequenceDiagram participant C as 客户端 participant E as Express.js participant M as 中间件 participant R as 路由处理器 participant DB as 数据库 C->>E: HTTP 请求 E->>M: 解析请求体 M->>M: 验证身份 M->>R: 路由匹配 R->>DB: 查询数据 DB-->>R: 返回数据 R->>R: 处理业务逻辑 R->>E: 返回响应 E->>C: HTTP 响应 Note over C,DB: 完整的请求-响应流程

请求处理关键点：

请求体解析（JSON、URL 编码）
路由参数提取
查询参数解析
请求头信息获取
文件上传处理

8.1 获取请求数据#

1
app.use(express.json());
2
app.use(express.urlencoded({ extended: true }));
3

4
app.post('/api/users', (req, res) => {
5
  // 获取 JSON 数据
6
  const { name, email } = req.body;
7

8
  // 获取查询参数
9
  const { page, limit } = req.query;
10

11
  // 获取路由参数
12
  const userId = req.params.id;
13

14
  // 获取请求头
15
  const userAgent = req.headers['user-agent'];
16

17
  res.json({
18
    name,
19
    email,
20
    page,
21
    limit,
22
    userId,
23
    userAgent
24
  });
25
});

8.2 文件上传#

1
npm install multer

1
const multer = require('multer');
2

3
// 配置存储
4
const storage = multer.diskStorage({
5
  destination: (req, file, cb) => {
6
    cb(null, 'uploads/');
7
  },
8
  filename: (req, file, cb) => {
9
    cb(null, Date.now() + '-' + file.originalname);
10
  }
11
});
12

13
const upload = multer({ storage });
14

15
// 单文件上传
16
app.post('/upload', upload.single('file'), (req, res) => {
17
  if (!req.file) {
18
    return res.status(400).send('没有上传文件');
19
  }
20
  res.send('文件上传成功！');
21
});
22

23
// 多文件上传
24
app.post('/uploads', upload.array('files', 5), (req, res) => {
25
  res.send('文件上传成功！');
26
});

第九步：响应处理#

9.1 发送响应#

1
// 发送文本
2
app.get('/', (req, res) => {
3
  res.send('Hello, World!');
4
});
5

6
// 发送 JSON
7
app.get('/api/data', (req, res) => {
8
  res.json({ message: 'Hello, JSON!' });
9
});
10

11
// 发送状态码
12
app.get('/not-found', (req, res) => {
13
  res.status(404).send('页面未找到');
14
});
15

16
// 发送文件
17
app.get('/download', (req, res) => {
18
  res.download('/path/to/file.pdf');
19
});
20

21
// 重定向
22
app.get('/redirect', (req, res) => {
23
  res.redirect('/new-location');
24
});

9.2 设置响应头#

1
app.get('/api/data', (req, res) => {
2
  res.set('Content-Type', 'application/json');
3
  res.set('X-Custom-Header', 'Custom Value');
4
  res.json({ message: 'Hello!' });
5
});

第十步：模板引擎#

模板引擎让您可以使用模板文件生成动态 HTML。

10.1 使用 EJS#

1
npm install ejs

1
// 设置模板引擎
2
app.set('view engine', 'ejs');
3
app.set('views', './views');
4

5
// 渲染模板
6
app.get('/', (req, res) => {
7
  res.render('index', { title: '首页', user: '张三' });
8
});

创建模板文件 views/index.ejs：

1
<!DOCTYPE html>
2
<html>
3
<head>
4
  <title><%= title %></title>
5
</head>
6
<body>
7
  <h1>欢迎, <%= user %>!</h1>
8
</body>
9
</html>

10.2 使用 Pug#

1
npm install pug

1
app.set('view engine', 'pug');
2
app.set('views', './views');
3

4
app.get('/', (req, res) => {
5
  res.render('index', { title: '首页', user: '张三' });
6
});

创建模板文件 views/index.pug：

1
doctype html
2
html
3
  head
4
    title= title
5
  body
6
    h1 欢迎, #{user}!

第十一步：错误处理#

TIP
💡 错误处理是生产应用的必备技能：良好的错误处理可以防止应用崩溃，提供友好的错误信息，帮助开发者快速定位问题。不要忽视错误处理，它会让你的应用更加健壮！

11.1 同步错误处理#

1
app.get('/error', (req, res) => {
2
  throw new Error('这是一个错误');
3
});

11.2 异步错误处理#

1
// 使用 next 传递错误
2
app.get('/async-error', (req, res, next) => {
3
  setTimeout(() => {
4
    next(new Error('异步错误'));
5
  }, 1000);
6
});
7

8
// 使用 async/await
9
app.get('/async-await', async (req, res, next) => {
10
  try {
11
    const data = await someAsyncFunction();
12
    res.json(data);
13
  } catch (error) {
14
    next(error);
15
  }
16
});

11.3 自定义错误处理#

1
// 404 错误处理
2
app.use((req, res, next) => {
3
  res.status(404).render('404', { url: req.url });
4
});
5

6
// 全局错误处理
7
app.use((err, req, res, next) => {
8
  console.error(err.stack);
9
  res.status(err.status || 500);
10
  res.json({
11
    error: {
12
      message: err.message,
13
      status: err.status || 500
14
    }
15
  });
16
});

第十二步：调试技巧#

调试是开发过程中不可或缺的技能，掌握调试技巧可以大大提高开发效率。

💡 为什么需要调试？#

在开发 Express.js 应用时，你可能会遇到各种问题：

🐛 代码逻辑错误
🐛 中间件顺序错误
🐛 路由不匹配
🐛 数据库连接失败
🐛 异步操作错误

🗺️ 调试流程#

graph TD A[发现问题] --> B[添加日志] B --> C{问题解决?} C -->|是| G[完成] C -->|否| D[使用断点调试] D --> E{问题解决?} E -->|是| G E -->|否| F[查看错误堆栈] F --> H[搜索解决方案] H --> B style A fill:#e1f5ff style B fill:#fff4e1 style C fill:#fce4ec style D fill:#fff4e1 style E fill:#fce4ec style F fill:#fff4e1 style G fill:#c8e6c9 style H fill:#fff9c4

12.1 使用 console.log 调试#

最简单的调试方法就是使用 console.log 输出信息：

1
app.get('/api/users/:id', async (req, res) => {
2
  console.log('收到请求:', req.url);
3
  console.log('请求参数:', req.params);
4
  console.log('查询参数:', req.query);
5

6
  const userId = req.params.id;
7
  console.log('用户 ID:', userId);
8

9
  try {
10
    const user = await User.findById(userId);
11
    console.log('查询结果:', user);
12

13
    if (!user) {
14
      console.log('用户不存在');
15
      return res.status(404).json({ error: '用户不存在' });
16
    }
17

18
    res.json(user);
19
  } catch (error) {
20
    console.error('查询错误:', error);
21
    res.status(500).json({ error: '服务器错误' });
22
  }
23
});

💡 console.log 的最佳实践#

✅ 推荐做法：

1
// 使用有意义的标签
2
console.log('[用户服务] 查询用户 ID:', userId);
3
console.log('[数据库] 连接成功');
4

5
// 使用对象展开
6
console.log('请求数据:', { ...req.body });
7

8
// 使用时间戳
9
console.log(`[${new Date().toISOString()}] 处理请求: ${req.method} ${req.url}`);

❌ 不推荐做法：

1
// 没有标签
2
console.log(userId);
3

4
// 输出过多信息
5
console.log(req);  // 会输出整个请求对象，非常混乱
6

7
// 忘记删除调试代码
8
console.log('调试信息');  // 生产环境不应该有

12.2 使用 VS Code 调试#

VS Code 提供了强大的调试功能，可以设置断点、单步执行、查看变量等。

📝 配置 launch.json#

在项目根目录创建 .vscode/launch.json 文件：

1
{
2
  "version": "0.2.0",
3
  "configurations": [
4
    {
5
      "type": "node",
6
      "request": "launch",
7
      "name": "启动 Express 应用",
8
      "program": "${workspaceFolder}/app.js",
9
      "skipFiles": [
10
        "<node_internals>/**"
11
      ]
12
    }
13
  ]
14
}

🎯 使用断点调试#

设置断点：在代码行号左侧点击，出现红点
启动调试：按 F5 或点击调试按钮
单步执行：
- F10：单步跳过（Step Over）
- F11：单步进入（Step Into）
- Shift + F11：单步跳出（Step Out）
查看变量：在调试面板中查看变量的值
查看调用栈：了解代码执行路径

📊 调试面板功能#

功能	快捷键	说明
继续执行	F5	继续运行到下一个断点
单步跳过	F10	执行当前行，不进入函数
单步进入	F11	进入当前行的函数内部
单步跳出	Shift+F11	跳出当前函数
重启调试	Ctrl+Shift+F5	重新启动调试
停止调试	Shift+F5	停止调试

12.3 使用调试中间件#

Express.js 有一些专门的调试中间件可以帮助你排查问题。

morgan（HTTP 请求日志）#

1
npm install morgan

1
const morgan = require('morgan');
2

3
// 开发环境：详细日志
4
if (process.env.NODE_ENV === 'development') {
5
  app.use(morgan('dev'));
6
}
7

8
// 生产环境：简洁日志
9
if (process.env.NODE_ENV === 'production') {
10
  app.use(morgan('combined'));
11
}
12

13
// 自定义日志格式
14
app.use(morgan(':method :url :status :res[content-length] - :response-time ms'));

morgan 预设格式：

格式	说明	示例
`dev`	开发环境，彩色输出	`GET /api/users 200 15 ms`
`combined`	Apache 组合格式	完整的访问日志
`common`	Apache 通用格式	简化的访问日志
`short`	短格式	`GET /api/users 200`
`tiny`	最简格式	`GET /api/users 200`

debug（调试信息）#

1
npm install debug

1
const debug = require('debug')('myapp:server');
2
const debugUser = require('debug')('myapp:user');
3

4
app.get('/api/users/:id', async (req, res) => {
5
  debug('收到用户查询请求');
6

7
  const userId = req.params.id;
8
  debugUser('查询用户 ID: %s', userId);
9

10
  try {
11
    const user = await User.findById(userId);
12
    debugUser('查询结果: %O', user);
13

14
    if (!user) {
15
      debug('用户不存在');
16
      return res.status(404).json({ error: '用户不存在' });
17
    }
18

19
    res.json(user);
20
  } catch (error) {
21
    debug('查询错误: %O', error);
22
    res.status(500).json({ error: '服务器错误' });
23
  }
24
});

使用 debug：

1
# 启用所有调试信息
2
DEBUG=* node app.js
3

4
# 只启用特定命名空间的调试
5
DEBUG=myapp:* node app.js
6

7
# 只启用用户相关的调试
8
DEBUG=myapp:user node app.js

12.4 常见错误及解决方法#

错误 1：端口被占用#

错误信息：

1
Error: listen EADDRINUSE: address already in use :::3000

原因： 端口 3000 已经被其他程序占用

解决方案：

方法 1：找到并关闭占用端口的程序

1
# 查找占用端口的进程（Linux/Mac）
2
lsof -i :3000
3

4
# 查找占用端口的进程（Windows）
5
netstat -ano | findstr :3000
6

7
# 杀死进程
8
kill -9 <PID>  # Linux/Mac
9
taskkill /PID <PID> /F  # Windows

方法 2：使用其他端口

1
const PORT = process.env.PORT || 3001;  // 改用 3001

方法 3：自动查找可用端口

1
npm install detect-port

1
const detectPort = require('detect-port');
2

3
detectPort(3000).then(port => {
4
  if (port === 3000) {
5
    console.log('端口 3000 可用');
6
  } else {
7
    console.log(`端口 3000 被占用，使用端口 ${port}`);
8
  }
9

10
  app.listen(port, () => {
11
    console.log(`服务器运行在端口 ${port}`);
12
  });
13
});

错误 2：路由不匹配#

问题： 定义了路由，但访问时返回 404

可能原因：

路由顺序错误

1
// ❌ 错误：通配路由放前面
2
app.get('/api/users/*', (req, res) => {
3
  res.send('所有用户');
4
});
5

6
app.get('/api/users/admin', (req, res) => {
7
  res.send('管理员');  // 永远不会执行
8
});
9

10
// ✅ 正确：具体路由放前面
11
app.get('/api/users/admin', (req, res) => {
12
  res.send('管理员');
13
});
14

15
app.get('/api/users/*', (req, res) => {
16
  res.send('所有用户');
17
});

中间件顺序错误

1
// ❌ 错误：路由在静态文件中间件之前
2
app.get('/index.html', (req, res) => {
3
  res.send('自定义首页');
4
});
5

6
app.use(express.static('public'));  // 会先匹配静态文件
7

8
// ✅ 正确：静态文件中间件在前
9
app.use(express.static('public'));
10

11
app.get('/index.html', (req, res) => {
12
  res.send('自定义首页');  // 只有找不到静态文件时才会执行
13
});

路径大小写问题

1
// 路由定义
2
app.get('/api/Users', (req, res) => {
3
  res.send('用户列表');
4
});
5

6
// ❌ 错误：大小写不匹配
7
// 访问：/api/users  （返回 404）
8

9
// ✅ 正确：大小写匹配
10
// 访问：/api/Users

错误 3：请求体解析失败#

问题： req.body 是 undefined

原因： 没有使用解析中间件

解决方案：

1
// ✅ 添加解析中间件
2
app.use(express.json());  // 解析 JSON
3
app.use(express.urlencoded({ extended: true }));  // 解析 URL 编码
4

5
app.post('/api/users', (req, res) => {
6
  console.log(req.body);  // 现在可以正确获取请求体
7
  res.json(req.body);
8
});

错误 4：CORS 跨域问题#

错误信息：

1
Access to XMLHttpRequest at 'http://localhost:3000/api/users'
2
from origin 'http://localhost:8080' has been blocked by CORS policy

原因： 浏览器的同源策略限制

解决方案：

1
npm install cors

1
const cors = require('cors');
2

3
// 允许所有来源（开发环境）
4
app.use(cors());
5

6
// 只允许特定来源（生产环境）
7
app.use(cors({
8
  origin: 'https://yourdomain.com'
9
}));
10

11
// 允许多个来源
12
app.use(cors({
13
  origin: ['https://example1.com', 'https://example2.com']
14
}));
15

16
// 自定义 CORS 配置
17
app.use(cors({
18
  origin: function (origin, callback) {
19
    // 允许没有 origin 的请求（如移动应用）
20
    if (!origin) return callback(null, true);
21

22
    if (allowedOrigins.indexOf(origin) === -1) {
23
      const msg = 'CORS policy for this site does not allow access from the specified Origin.';
24
      return callback(new Error(msg), false);
25
    }
26
    return callback(null, true);
27
  }
28
}));

错误 5：异步错误未捕获#

问题： 异步操作中的错误没有被捕获，导致服务器崩溃

解决方案：

方法 1：使用 try-catch

1
app.get('/api/users/:id', async (req, res, next) => {
2
  try {
3
    const user = await User.findById(req.params.id);
4
    res.json(user);
5
  } catch (error) {
6
    next(error);  // 传递给错误处理中间件
7
  }
8
});

方法 2：使用全局错误处理

1
// 捕获未处理的 Promise 拒绝
2
process.on('unhandledRejection', (reason, promise) => {
3
  console.error('未处理的 Promise 拒绝:', reason);
4
});
5

6
// 捕获未捕获的异常
7
process.on('uncaughtException', (error) => {
8
  console.error('未捕获的异常:', error);
9
  process.exit(1);  // 退出进程
10
});

方法 3：使用 express-async-errors

1
npm install express-async-errors

1
require('express-async-errors');  // 必须在引入 express 之后
2

3
// 现在可以直接使用 async/await，不需要 try-catch
4
app.get('/api/users/:id', async (req, res) => {
5
  const user = await User.findById(req.params.id);
6
  res.json(user);  // 如果出错，会自动传递给错误处理中间件
7
});

错误 6：数据库连接失败#

错误信息：

1
MongoNetworkError: failed to connect to server [localhost:27017]

解决方案：

检查数据库服务是否运行

1
# MongoDB
2
# Linux/Mac
3
sudo systemctl status mongod
4

5
# Windows
6
# 检查 MongoDB 服务是否运行
7

8
# 启动 MongoDB
9
# Linux/Mac
10
sudo systemctl start mongod
11

12
# Windows
13
# 在服务管理器中启动 MongoDB 服务

检查连接字符串

1
// ❌ 错误：可能拼写错误
2
mongoose.connect('mongodb://localhost:27017/myapp');
3

4
// ✅ 正确：添加错误处理
5
mongoose.connect('mongodb://localhost:27017/myapp', {
6
  useNewUrlParser: true,
7
  useUnifiedTopology: true
8
})
9
.then(() => console.log('数据库连接成功'))
10
.catch(error => {
11
  console.error('数据库连接失败:', error);
12
  process.exit(1);
13
});

检查网络连接

1
// 测试数据库连接
2
const mongoose = require('mongoose');
3

4
mongoose.connection.on('connected', () => {
5
  console.log('MongoDB 连接成功');
6
});
7

8
mongoose.connection.on('error', (error) => {
9
  console.error('MongoDB 连接错误:', error);
10
});
11

12
mongoose.connection.on('disconnected', () => {
13
  console.log('MongoDB 连接断开');
14
});

错误 7：内存泄漏#

症状： 应用运行一段时间后变慢，最终崩溃

常见原因：

全局变量累积

1
// ❌ 错误：全局变量无限增长
2
const cache = {};
3

4
app.get('/api/data', (req, res) => {
5
  cache[Date.now()] = req.query.data;  // 缓存无限增长
6
  res.json({ success: true });
7
});
8

9
// ✅ 正确：限制缓存大小
10
const cache = new Map();
11
const MAX_CACHE_SIZE = 1000;
12

13
app.get('/api/data', (req, res) => {
14
  if (cache.size >= MAX_CACHE_SIZE) {
15
    // 删除最旧的条目
16
    const oldestKey = cache.keys().next().value;
17
    cache.delete(oldestKey);
18
  }
19

20
  cache.set(Date.now(), req.query.data);
21
  res.json({ success: true });
22
});

事件监听器未移除

1
// ❌ 错误：事件监听器累积
2
app.get('/api/data', (req, res) => {
3
  someEmitter.on('data', handler);  // 每次请求都添加监听器
4
  res.json({ success: true });
5
});
6

7
// ✅ 正确：使用 once 或移除监听器
8
app.get('/api/data', (req, res) => {
9
  someEmitter.once('data', handler);  // 只执行一次
10
  res.json({ success: true });
11
});

定时器未清理

1
// ❌ 错误：定时器未清理
2
app.post('/api/schedule', (req, res) => {
3
  setInterval(() => {
4
    // 定时任务
5
  }, 1000);  // 每次请求都创建定时器
6
  res.json({ success: true });
7
});
8

9
// ✅ 正确：清理定时器
10
const timers = new Set();
11

12
app.post('/api/schedule', (req, res) => {
13
  const timer = setInterval(() => {
14
    // 定时任务
15
  }, 1000);
16

17
  timers.add(timer);
18

19
  // 在某个时机清理
20
  // clearInterval(timer);
21
  // timers.delete(timer);
22

23
  res.json({ success: true });
24
});

12.5 性能分析#

使用 Node.js 性能分析器#

1
# 启动应用时启用性能分析
2
node --prof app.js
3

4
# 生成性能报告
5
node --prof-process isolate-*.log > profile.txt

使用 clinic.js#

1
npm install -g clinic
2

3
# 启动应用并分析
4
clinic doctor -- node app.js

使用 Chrome DevTools#

1
// 在 app.js 中添加
2
const inspector = require('inspector');
3
const fs = require('fs');
4

5
if (process.env.NODE_ENV === 'development') {
6
  inspector.open(9229, '0.0.0.0');
7
  console.log('调试器运行在 http://localhost:9229');
8
}

然后在 Chrome 浏览器中打开 chrome://inspect，点击 “Inspect” 进行调试。

12.6 日志管理#

使用 winston（专业日志库）#

1
npm install winston

1
const winston = require('winston');
2

3
const logger = winston.createLogger({
4
  level: 'info',
5
  format: winston.format.json(),
6
  transports: [
7
    // 错误日志
8
    new winston.transports.File({
9
      filename: 'error.log',
10
      level: 'error'
11
    }),
12
    // 所有日志
13
    new winston.transports.File({
14
      filename: 'combined.log'
15
    })
16
  ]
17
});
18

19
// 开发环境同时输出到控制台
20
if (process.env.NODE_ENV !== 'production') {
21
  logger.add(new winston.transports.Console({
22
    format: winston.format.simple()
23
  }));
24
}
25

26
// 使用日志
27
logger.info('服务器启动');
28
logger.error('数据库连接失败', { error: err });
29
logger.warn('内存使用率过高', { usage: '90%' });

12.7 调试最佳实践#

开发环境使用详细日志

1
if (process.env.NODE_ENV === 'development') {
2
  app.use(morgan('dev'));
3
}

生产环境使用简洁日志

1
if (process.env.NODE_ENV === 'production') {
2
  app.use(morgan('combined', { stream: fs.createWriteStream('./access.log', { flags: 'a' }) }));
3
}

使用环境变量控制调试

1
const DEBUG = process.env.DEBUG === 'true';
2

3
if (DEBUG) {
4
  app.use((req, res, next) => {
5
    console.log(`${req.method} ${req.url}`);
6
    console.log('Headers:', req.headers);
7
    console.log('Body:', req.body);
8
    next();
9
  });
10
}

定期清理调试代码

1
// ❌ 不要在生产环境留下调试代码
2
console.log('调试信息');
3

4
// ✅ 使用条件判断
5
if (process.env.NODE_ENV === 'development') {
6
  console.log('调试信息');
7
}

第十三步：RESTful API 设计#

RESTful API 是一种设计风格，使用 HTTP 方法和资源路径来构建 API。

🗺️ RESTful API 设计流程#

graph TD A[设计 RESTful API] --> B[识别资源 用户, 文章, 评论] B --> C[定义资源路径 /users, /posts, /comments] C --> D[选择 HTTP 方法 GET, POST, PUT, DELETE] D --> E[设计端点 /api/users, /api/posts] E --> F[定义请求/响应格式 JSON Schema] F --> G[实现错误处理 400, 404, 500] G --> H[添加认证授权 JWT, OAuth] H --> I[编写 API 文档 Swagger] I --> J[测试 API 单元测试, 集成测试] style A fill:#e1f5ff style B fill:#fff4e1 style C fill:#fff4e1 style D fill:#fff4e1 style E fill:#e8f5e9 style F fill:#e8f5e9 style G fill:#fce4ec style H fill:#ffccbc style I fill:#c8e6c9 style J fill:#c8e6c9

RESTful API 设计原则：

资源导向：使用名词而非动词
统一接口：使用标准 HTTP 方法
无状态：每个请求包含所有必要信息
可缓存：响应应该明确是否可缓存
分层系统：客户端不需要知道是否直接连接服务器

13.1 RESTful 原则#

HTTP 方法	操作	示例路径
GET	获取资源	/api/users
POST	创建资源	/api/users
PUT	更新资源	/api/users/
PATCH	部分更新	/api/users/
DELETE	删除资源	/api/users/

💡 RESTful API 设计原则详解#

📚 什么是 RESTful API？#

RESTful API 是一种基于 REST（Representational State Transfer，表述性状态转移） 架构风格的 API 设计方式。它使用 HTTP 协议的标准方法来操作资源，使 API 更加简洁、统一和易于理解。

🏢 生活比喻：图书馆管理系统#

想象一个图书馆的图书管理系统：

操作	传统方式	RESTful 方式
查看所有书	`getAllBooks()`	`GET /api/books`
查看一本书	`getBookById(123)`	`GET /api/books/123`
借一本书	`borrowBook(123)`	`POST /api/books/123/borrow`
归还一本书	`returnBook(123)`	`POST /api/books/123/return`
添加新书	`addBook(bookInfo)`	`POST /api/books`
更新书信息	`updateBook(123, newInfo)`	`PUT /api/books/123`
删除一本书	`deleteBook(123)`	`DELETE /api/books/123`

RESTful 方式的优点：

✅ 统一：所有操作都使用标准 HTTP 方法
✅ 直观：URL 清晰地表达了资源和操作
✅ 无状态：每个请求都包含所有必要信息
✅ 可缓存：GET 请求可以被缓存

🎯 RESTful 设计的核心原则#

1. 资源导向（Resource-Oriented）#

使用名词而非动词来命名资源：

❌ 错误示例：

1
GET /getUsers
2
POST /createUser
3
PUT /updateUser/1
4
DELETE /deleteUser/1

✅ 正确示例：

1
GET /api/users
2
POST /api/users
3
PUT /api/users/1
4
DELETE /api/users/1

原则：URL 应该代表资源，而不是动作。

2. 统一接口（Uniform Interface）#

使用标准 HTTP 方法：

HTTP 方法	操作	幂等性	安全性
GET	获取资源	✅ 是	✅ 是
POST	创建资源	❌ 否	❌ 否
PUT	完整更新	✅ 是	❌ 否
PATCH	部分更新	❌ 否	❌ 否
DELETE	删除资源	✅ 是	❌ 否

幂等性：多次执行相同操作，结果不变 安全性：操作不会改变服务器状态

3. 无状态（Stateless）#

每个请求都包含所有必要信息，服务器不保存客户端状态：

❌ 错误示例（有状态）：

1
# 第一次请求
2
POST /api/login
3
{ username: "alice", password: "123456" }
4

5
# 第二次请求（依赖第一次请求的状态）
6
GET /api/profile  # 服务器需要知道当前用户是谁

✅ 正确示例（无状态）：

1
# 第一次请求
2
POST /api/login
3
{ username: "alice", password: "123456" }
4
# 返回：{ token: "abc123" }
5

6
# 第二次请求（携带 token）
7
GET /api/profile
8
Authorization: Bearer abc123

4. 可缓存（Cacheable）#

GET 请求应该可以被缓存：

1
// 设置缓存头
2
app.get('/api/posts', (req, res) => {
3
  res.set('Cache-Control', 'public, max-age=3600'); // 缓存 1 小时
4
  res.json(posts);
5
});

5. 分层系统（Layered System）#

客户端不需要知道是否直接连接服务器：

1
客户端 → 负载均衡器 → API 网关 → 应用服务器 → 数据库

📋 RESTful API 设计最佳实践#

1. 使用复数形式命名资源#

✅ 正确：

1
GET /api/users
2
GET /api/posts
3
GET /api/comments

❌ 错误：

1
GET /api/user
2
GET /api/post
3
GET /api/comment

2. 使用小写字母和连字符#

✅ 正确：

1
GET /api/user-profiles
2
GET /api/blog-posts

❌ 错误：

1
GET /api/userProfiles  # 驼峰命名
2
GET /api/user_profiles  # 下划线
3
GET /api/UserProfiles   # 大写

3. 使用嵌套资源表示关系#

✅ 正确：

1
GET /api/users/123/posts        # 获取用户的文章
2
GET /api/posts/456/comments     # 获取文章的评论
3
POST /api/users/123/posts       # 为用户创建文章

❌ 错误：

1
GET /api/posts?userId=123       # 使用查询参数
2
GET /api/user/123/post          # 使用单数

4. 合理使用查询参数#

✅ 正确：

1
GET /api/posts?page=2&limit=10      # 分页
2
GET /api/posts?category=tech        # 筛选
3
GET /api/posts?sort=date&order=desc # 排序
4
GET /api/posts?q=nodejs            # 搜索

5. 使用标准状态码#

状态码	含义	使用场景
200	OK	请求成功
201	Created	资源创建成功
204	No Content	删除成功（无返回内容）
400	Bad Request	请求参数错误
401	Unauthorized	未认证
403	Forbidden	无权限
404	Not Found	资源不存在
409	Conflict	资源冲突（如重复创建）
500	Internal Server Error	服务器错误

6. 统一的响应格式#

1
[{
2
  "success": true,
3
  "data": {
4
    "id": 1,
5
    "name": "张三"
6
  }
7
},
8
{
9
  "success": false,
10
  "error": {
11
    "code": "USER_NOT_FOUND",
12
    "message": "用户不存在",
13
    "details": {}
14
  }
15
}]

7. 版本控制#

✅ 正确：

1
GET /api/v1/users
2
GET /api/v2/users

❌ 错误：

1
GET /api/users/v1
2
GET /api/users?version=1

🚫 常见错误示例#

错误 1：在 URL 中使用动词#

❌ 错误：

1
GET /api/getUsers
2
POST /api/createUser
3
PUT /api/updateUser/1

✅ 正确：

1
GET /api/users
2
POST /api/users
3
PUT /api/users/1

错误 2：返回不一致的数据结构#

❌ 错误：

1
# 成功时
2
{ "id": 1, "name": "张三" }
3

4
# 失败时
5
{ "error": "用户不存在" }

✅ 正确：

1
# 成功时
2
{
3
  "success": true,
4
  "data": { "id": 1, "name": "张三" }
5
}
6

7
# 失败时
8
{
9
  "success": false,
10
  "error": {
11
    "code": "USER_NOT_FOUND",
12
    "message": "用户不存在"
13
  }
14
}

错误 3：不使用正确的 HTTP 状态码#

❌ 错误：

1
# 资源不存在
2
GET /api/users/999
3
# 返回 200 OK
4
{ "error": "用户不存在" }

✅ 正确：

1
# 资源不存在
2
GET /api/users/999
3
# 返回 404 Not Found
4
{
5
  "success": false,
6
  "error": {
7
    "code": "USER_NOT_FOUND",
8
    "message": "用户不存在"
9
  }
10
}

13.2 实现用户 API#

1
// 模拟数据库
2
let users = [
3
  { id: 1, name: '张三', email: 'zhangsan@example.com' },
4
  { id: 2, name: '李四', email: 'lisi@example.com' }
5
];
6

7
// 获取所有用户
8
app.get('/api/users', (req, res) => {
9
  res.json(users);
10
});
11

12
// 获取单个用户
13
app.get('/api/users/:id', (req, res) => {
14
  const user = users.find(u => u.id === parseInt(req.params.id));
15
  if (!user) {
16
    return res.status(404).json({ error: '用户不存在' });
17
  }
18
  res.json(user);
19
});
20

21
// 创建用户
22
app.post('/api/users', (req, res) => {
23
  const { name, email } = req.body;
24
  const newUser = {
25
    id: users.length + 1,
26
    name,
27
    email
28
  };
29
  users.push(newUser);
30
  res.status(201).json(newUser);
31
});
32

33
// 更新用户
34
app.put('/api/users/:id', (req, res) => {
35
  const user = users.find(u => u.id === parseInt(req.params.id));
36
  if (!user) {
37
    return res.status(404).json({ error: '用户不存在' });
38
  }
39

40
  user.name = req.body.name || user.name;
41
  user.email = req.body.email || user.email;
42

43
  res.json(user);
44
});
45

46
// 删除用户
47
app.delete('/api/users/:id', (req, res) => {
48
  const userIndex = users.findIndex(u => u.id === parseInt(req.params.id));
49
  if (userIndex === -1) {
50
    return res.status(404).json({ error: '用户不存在' });
51
  }
52

53
  users.splice(userIndex, 1);
54
  res.status(204).send();
55
});

第十四步：数据库集成#

💡 数据库设计思路与注意事项#

🏗️ 数据库设计的重要性#

数据库设计就像建筑的地基，设计得好，后续开发会事半功倍；设计得不好，后期维护会非常痛苦。

📋 数据库设计的基本原则#

1. 理解业务需求#

在开始设计之前，先问自己这些问题：

🤔 需要存储什么数据？（用户、文章、评论、订单…）
🤔 数据之间有什么关系？（用户-文章、文章-评论…）
🤔 数据的访问模式是什么？（频繁查询、偶尔更新…）
🤔 数据量有多大？（几千条、几百万条…）

2. 选择合适的数据库#

数据库类型	适用场景	优点	缺点
MongoDB	文档型数据、快速迭代	灵活、易扩展、无模式	事务支持较弱
MySQL	关系型数据、事务要求高	成熟、稳定、事务支持强	扩展性相对较差
PostgreSQL	复杂查询、数据分析	功能强大、支持 JSON	配置相对复杂
Redis	缓存、会话、计数器	极快、支持多种数据结构	数据不能太大

生活比喻：

MongoDB 就像文件夹，可以放任何类型的文件
MySQL 就像Excel 表格，结构固定，关系明确
Redis 就像白板，快速读写，但容量有限

3. 数据库设计原则#

🎯 MongoDB 设计原则#

原则 1：嵌入 vs 引用

嵌入（Embedding）：把相关数据放在同一个文档中

✅ 适用场景：

数据量小（通常 < 1000 条）
数据经常一起查询
数据很少单独更新

1
{
2
  "_id": "...",
3
  "name": "张三",
4
  "email": "zhangsan@example.com",
5
  "addresses": [
6
    {
7
      "type": "home",
8
      "street": "长安街 1 号",
9
      "city": "北京"
10
    },
11
    {
12
      "type": "work",
13
      "street": "科技路 2 号",
14
      "city": "上海"
15
    }
16
  ]
17
}

引用（Referencing）：使用 ID 引用其他文档

✅ 适用场景：

数据量大
数据需要单独查询和更新
数据之间关系复杂

1
[{
2
  "_id": "...",
3
  "name": "张三",
4
  "email": "zhangsan@example.com"
5
},
6
{
7
  "_id": "...",
8
  "title": "我的第一篇文章",
9
  "content": "...",
10
  "author": "..."
11
}]

生活比喻：

嵌入：就像把照片直接贴在相册里
引用：就像在相册里写”见第 3 页”

原则 2：避免过深的嵌套

❌ 错误示例：

1
{
2
  "title": "文章标题",
3
  "comments": [
4
    {
5
      "text": "评论1",
6
      "replies": [
7
        {
8
          "text": "回复1",
9
          "replies": [
10
            {
11
              "text": "回复的回复",
12
              "replies": []
13
            }
14
          ]
15
        }
16
      ]
17
    }
18
  ]
19
}

✅ 正确示例：

1
[{
2
  "_id": "...",
3
  "title": "文章标题",
4
  "comments": ["...", "..."]
5
},
6
{
7
  "_id": "...",
8
  "text": "评论1",
9
  "articleId": "...",
10
  "parentId": null
11
},
12
{
13
  "_id": "...",
14
  "text": "回复1",
15
  "articleId": "...",
16
  "parentId": "..."
17
}]

🎯 MySQL 设计原则#

原则 1：规范化（Normalization）

规范化是为了减少数据冗余，避免数据不一致。

第一范式（1NF）：每个字段都是不可分割的

❌ 错误示例：

1
-- 用户字段包含多个值
2
CREATE TABLE users (
3
  id INT,
4
  name VARCHAR(100),
5
  phones VARCHAR(200)  -- "13800000001,13800000002"
6
);

✅ 正确示例：

1
-- 分开存储
2
CREATE TABLE users (
3
  id INT,
4
  name VARCHAR(100)
5
);
6

7
CREATE TABLE user_phones (
8
  id INT,
9
  user_id INT,
10
  phone VARCHAR(20)
11
);

第二范式（2NF）：非主键字段完全依赖于主键

❌ 错误示例：

1
-- 订单表中包含商品信息
2
CREATE TABLE orders (
3
  id INT,
4
  user_id INT,
5
  product_name VARCHAR(100),  -- 依赖于商品，不依赖于订单
6
  product_price DECIMAL(10,2)
7
);

✅ 正确示例：

1
-- 订单表
2
CREATE TABLE orders (
3
  id INT,
4
  user_id INT,
5
  created_at DATETIME
6
);
7

8
-- 订单详情表
9
CREATE TABLE order_items (
10
  id INT,
11
  order_id INT,
12
  product_id INT,
13
  quantity INT,
14
  price DECIMAL(10,2)
15
);
16

17
-- 商品表
18
CREATE TABLE products (
19
  id INT,
20
  name VARCHAR(100),
21
  price DECIMAL(10,2)
22
);

原则 2：合理使用索引

索引就像书的目录，可以快速找到内容。

✅ 应该创建索引的字段：

经常用于查询的字段（WHERE）
经常用于排序的字段（ORDER BY）
经常用于连接的字段（JOIN）
唯一性字段（UNIQUE）

1
-- 为常用查询字段创建索引
2
CREATE INDEX idx_user_email ON users(email);
3
CREATE INDEX idx_post_author ON posts(author_id);
4
CREATE INDEX idx_post_created ON posts(created_at DESC);

❌ 不应该创建索引的字段：

很少查询的字段
数据量很小的表
频繁更新的字段（索引会降低更新速度）

原则 3：使用外键约束

外键可以保证数据的一致性。

1
-- 创建外键约束
2
CREATE TABLE posts (
3
  id INT PRIMARY KEY AUTO_INCREMENT,
4
  title VARCHAR(200),
5
  author_id INT,
6
  FOREIGN KEY (author_id) REFERENCES users(id)
7
    ON DELETE CASCADE  -- 删除用户时，同时删除其文章
8
    ON UPDATE CASCADE  -- 更新用户 ID 时，同时更新文章
9
);

⚠️ 常见错误和注意事项#

错误 1：过度设计#

❌ 错误： 为了”完美”，创建了太多的表和关系

✅ 正确： 根据实际需求设计，够用就好

错误 2：缺少索引#

❌ 错误： 所有查询都是全表扫描

✅ 正确： 为常用查询字段创建索引

错误 3：不使用事务#

❌ 错误： 转账操作没有事务保护

1
// 危险！如果第二步失败，钱已经扣了但没到账
2
// 假设这是在 async 函数中
3
await db.query('UPDATE accounts SET balance = balance - 100 WHERE id = 1');
4
await db.query('UPDATE accounts SET balance = balance + 100 WHERE id = 2');

✅ 正确： 使用事务确保数据一致性

1
// 安全！要么全部成功，要么全部失败
2
// 假设这是在 async 函数中
3
await db.beginTransaction();
4
try {
5
  await db.query('UPDATE accounts SET balance = balance - 100 WHERE id = 1');
6
  await db.query('UPDATE accounts SET balance = balance + 100 WHERE id = 2');
7
  await db.commit();
8
} catch (error) {
9
  await db.rollback();
10
  throw error;
11
}

错误 4：不处理数据库错误#

❌ 错误： 数据库错误直接抛出，暴露敏感信息

1
// 假设这是在 async 函数中
2
const users = await db.query('SELECT * FROM users');
3
// 如果数据库连接失败，会暴露数据库配置信息

✅ 正确： 捕获并处理错误，返回友好的错误信息

1
// 假设这是在 async 函数中
2
try {
3
  const users = await db.query('SELECT * FROM users');
4
  res.json(users);
5
} catch (error) {
6
  console.error('数据库错误:', error);
7
  res.status(500).json({
8
    error: '获取用户列表失败'
9
  });
10
}

错误 5：N+1 查询问题#

❌ 错误： 在循环中查询数据库

1
// 假设这是在 async 函数中
2
// 获取所有文章
3
const posts = await Post.find();
4

5
// 为每篇文章获取作者信息（N+1 查询）
6
for (const post of posts) {
7
  post.author = await User.findById(post.authorId);
8
}

✅ 正确： 使用关联查询或批量查询

1
// 假设这是在 async 函数中
2
// 使用 populate（MongoDB）
3
const posts = await Post.find().populate('author');
4

5
// 或者批量查询
6
const posts = await Post.find();
7
const authorIds = posts.map(p => p.authorId);
8
const authors = await User.find({ _id: { $in: authorIds } });

📊 数据库性能优化建议#

使用连接池：避免频繁创建和销毁连接
合理使用缓存：将热点数据缓存到 Redis
分页查询：避免一次性加载大量数据
定期维护：清理无用数据，优化索引
监控性能：使用工具监控慢查询

14.1 使用 MongoDB#

1
npm install mongoose

1
const mongoose = require('mongoose');
2

3
// 连接数据库
4
mongoose.connect('mongodb://localhost:27017/myapp', {
5
  useNewUrlParser: true,
6
  useUnifiedTopology: true
7
});
8

9
// 定义模型
10
const User = mongoose.model('User', {
11
  name: String,
12
  email: String
13
});
14

15
// 创建用户
16
app.post('/api/users', async (req, res) => {
17
  try {
18
    const user = await User.create(req.body);
19
    res.status(201).json(user);
20
  } catch (error) {
21
    res.status(400).json({ error: error.message });
22
  }
23
});
24

25
// 获取所有用户
26
app.get('/api/users', async (req, res) => {
27
  try {
28
    const users = await User.find();
29
    res.json(users);
30
  } catch (error) {
31
    res.status(500).json({ error: error.message });
32
  }
33
});

WARNING
⚠️ 数据库连接错误处理：在实际应用中，数据库连接可能会失败（如数据库服务未启动、网络问题等）。务必添加数据库连接的错误处理，否则应用会在启动时就崩溃。建议在 connect() 后添加 .catch() 处理连接错误。

14.2 使用 MySQL#

1
npm install mysql2

1
const mysql = require('mysql2/promise');
2

3
// 创建连接池
4
const pool = mysql.createPool({
5
  host: 'localhost',
6
  user: 'root',
7
  password: 'password',
8
  database: 'myapp',
9
  waitForConnections: true,
10
  connectionLimit: 10,
11
  queueLimit: 0
12
});
13

14
// 查询用户
15
app.get('/api/users', async (req, res) => {
16
  try {
17
    const [rows] = await pool.query('SELECT * FROM users');
18
    res.json(rows);
19
  } catch (error) {
20
    res.status(500).json({ error: error.message });
21
  }
22
});

第十五步：测试基础#

测试是保证代码质量的重要手段，可以帮助你发现和修复错误，提高代码的可靠性。

💡 为什么需要测试？#

生活比喻：

不测试代码：就像盖房子不检查地基，随时可能倒塌
测试代码：就像开车前检查刹车，确保安全

测试的好处：

✅ 发现错误：在开发阶段发现错误，而不是在生产环境
✅ 保证质量：确保代码按预期工作
✅ 重构信心：修改代码时不用担心破坏现有功能
✅ 文档作用：测试代码本身就是最好的文档
✅ 提高效率：快速验证功能，减少手动测试时间

🗺️ 测试类型#

graph TD A[测试] --> B[单元测试 测试单个函数/组件] A --> C[集成测试 测试模块之间的交互] A --> D[端到端测试 测试完整流程] B --> B1[Jest Mocha] C --> C1[Supertest Jest] D --> D1[Cypress Puppeteer] style A fill:#e1f5ff style B fill:#fff4e1 style C fill:#fff9c4 style D fill:#e8f5e9 style B1 fill:#c8e6c9 style C1 fill:#c8e6c9 style D1 fill:#c8e6c9

15.1 单元测试#

单元测试是测试代码中最小的可测试部分（通常是函数或方法）。

📦 安装 Jest#

Jest 是一个流行的 JavaScript 测试框架。

1
npm install --save-dev jest

在 package.json 中添加测试脚本：

1
{
2
  "scripts": {
3
    "test": "jest",
4
    "test:watch": "jest --watch",
5
    "test:coverage": "jest --coverage"
6
  }
7
}

🎯 编写第一个单元测试#

创建一个简单的工具函数 utils.js：

1
/**
2
 * 计算两个数的和
3
 * @param {number} a - 第一个数
4
 * @param {number} b - 第二个数
5
 * @returns {number} 两数之和
6
 */
7
function add(a, b) {
8
  return a + b;
9
}
10

11
/**
12
 * 格式化日期
13
 * @param {Date} date - 日期对象
14
 * @returns {string} 格式化后的日期字符串
15
 */
16
function formatDate(date) {
17
  return date.toISOString().split('T')[0];
18
}
19

20
/**
21
 * 验证邮箱格式
22
 * @param {string} email - 邮箱地址
23
 * @returns {boolean} 是否有效
24
 */
25
function isValidEmail(email) {
26
  const emailRegex = /^[^\s@]+@[^\s@]+\.[^\s@]+$/;
27
  return emailRegex.test(email);
28
}
29

30
module.exports = {
31
  add,
32
  formatDate,
33
  isValidEmail
34
};

创建测试文件 utils.test.js：

1
const { add, formatDate, isValidEmail } = require('./utils');
2

3
describe('add 函数测试', () => {
4
  test('应该正确计算两个正数的和', () => {
5
    expect(add(1, 2)).toBe(3);
6
  });
7

8
  test('应该正确计算负数的和', () => {
9
    expect(add(-1, -2)).toBe(-3);
10
  });
11

12
  test('应该正确处理零', () => {
13
    expect(add(0, 5)).toBe(5);
14
    expect(add(5, 0)).toBe(5);
15
  });
16

17
  test('应该正确处理小数', () => {
18
    expect(add(0.1, 0.2)).toBeCloseTo(0.3);
19
  });
20
});
21

22
describe('formatDate 函数测试', () => {
23
  test('应该正确格式化日期', () => {
24
    const date = new Date('2024-01-15');
25
    expect(formatDate(date)).toBe('2024-01-15');
26
  });
27

28
  test('应该处理不同时区的日期', () => {
29
    const date = new Date('2024-01-15T00:00:00Z');
30
    const result = formatDate(date);
31
    expect(result).toMatch(/^\d{4}-\d{2}-\d{2}$/);
32
  });
33
});
34

35
describe('isValidEmail 函数测试', () => {
36
  test('应该验证有效的邮箱', () => {
37
    expect(isValidEmail('test@example.com')).toBe(true);
38
    expect(isValidEmail('user.name+tag@domain.co.uk')).toBe(true);
39
  });
40

41
  test('应该拒绝无效的邮箱', () => {
42
    expect(isValidEmail('invalid')).toBe(false);
43
    expect(isValidEmail('invalid@')).toBe(false);
44
    expect(isValidEmail('@example.com')).toBe(false);
45
    expect(isValidEmail('test@example')).toBe(false);
46
  });
47
});

运行测试：

1
npm test

📚 Jest 常用断言#

断言	说明	示例
`toBe()`	严格相等	`expect(1 + 1).toBe(2)`
`toEqual()`	深度相等	`expect({a: 1}).toEqual({a: 1})`
`toBeCloseTo()`	浮点数近似	`expect(0.1 + 0.2).toBeCloseTo(0.3)`
`toMatch()`	正则匹配	`expect('hello').toMatch(/ell/)`
`toContain()`	包含元素	`expect([1, 2, 3]).toContain(2)`
`toThrow()`	抛出异常	`expect(() => fn()).toThrow()`
`toBeTruthy()`	真值	`expect(true).toBeTruthy()`
`toBeFalsy()`	假值	`expect(false).toBeFalsy()`
`toBeNull()`	null	`expect(null).toBeNull()`
`toBeUndefined()`	undefined	`expect(undefined).toBeUndefined()`

15.2 集成测试#

集成测试是测试多个模块或组件之间的交互。

📦 安装 Supertest#

Supertest 是一个专门用于测试 HTTP 服务器的库。

1
npm install --save-dev supertest

🎯 测试 Express.js 路由#

创建一个简单的 Express 应用 app.js：

1
const express = require('express');
2
const app = express();
3

4
app.use(express.json());
5

6
// 模拟数据库
7
let users = [
8
  { id: 1, name: '张三', email: 'zhangsan@example.com' },
9
  { id: 2, name: '李四', email: 'lisi@example.com' }
10
];
11

12
// 获取所有用户
13
app.get('/api/users', (req, res) => {
14
  res.json(users);
15
});
16

17
// 获取单个用户
18
app.get('/api/users/:id', (req, res) => {
19
  const user = users.find(u => u.id === parseInt(req.params.id));
20
  if (!user) {
21
    return res.status(404).json({ error: '用户不存在' });
22
  }
23
  res.json(user);
24
});
25

26
// 创建用户
27
app.post('/api/users', (req, res) => {
28
  const { name, email } = req.body;
29

30
  if (!name || !email) {
31
    return res.status(400).json({ error: '姓名和邮箱不能为空' });
32
  }
33

34
  const newUser = {
35
    id: users.length + 1,
36
    name,
37
    email
38
  };
39

40
  users.push(newUser);
41
  res.status(201).json(newUser);
42
});
43

44
// 更新用户
45
app.put('/api/users/:id', (req, res) => {
46
  const user = users.find(u => u.id === parseInt(req.params.id));
47
  if (!user) {
48
    return res.status(404).json({ error: '用户不存在' });
49
  }
50

51
  user.name = req.body.name || user.name;
52
  user.email = req.body.email || user.email;
53

54
  res.json(user);
55
});
56

57
// 删除用户
58
app.delete('/api/users/:id', (req, res) => {
59
  const index = users.findIndex(u => u.id === parseInt(req.params.id));
60
  if (index === -1) {
61
    return res.status(404).json({ error: '用户不存在' });
62
  }
63

64
  users.splice(index, 1);
65
  res.status(204).send();
66
});
67

68
module.exports = app;

创建测试文件 app.test.js：

1
const request = require('supertest');
2
const app = require('./app');
3

4
describe('用户 API 测试', () => {
5
  describe('GET /api/users', () => {
6
    test('应该返回所有用户', async () => {
7
      const response = await request(app)
8
        .get('/api/users')
9
        .expect('Content-Type', /json/)
10
        .expect(200);
11

12
      expect(response.body).toBeInstanceOf(Array);
13
      expect(response.body.length).toBeGreaterThan(0);
14
      expect(response.body[0]).toHaveProperty('id');
15
      expect(response.body[0]).toHaveProperty('name');
16
      expect(response.body[0]).toHaveProperty('email');
17
    });
18
  });
19

20
  describe('GET /api/users/:id', () => {
21
    test('应该返回指定用户', async () => {
22
      const response = await request(app)
23
        .get('/api/users/1')
24
        .expect(200);
25

26
      expect(response.body).toHaveProperty('id', 1);
27
      expect(response.body).toHaveProperty('name', '张三');
28
    });
29

30
    test('用户不存在时应该返回 404', async () => {
31
      const response = await request(app)
32
        .get('/api/users/999')
33
        .expect(404);
34

35
      expect(response.body).toHaveProperty('error', '用户不存在');
36
    });
37
  });
38

39
  describe('POST /api/users', () => {
40
    test('应该创建新用户', async () => {
41
      const newUser = {
42
        name: '王五',
43
        email: 'wangwu@example.com'
44
      };
45

46
      const response = await request(app)
47
        .post('/api/users')
48
        .send(newUser)
49
        .expect('Content-Type', /json/)
50
        .expect(201);
51

52
      expect(response.body).toHaveProperty('id');
53
      expect(response.body.name).toBe(newUser.name);
54
      expect(response.body.email).toBe(newUser.email);
55
    });
56

57
    test('缺少必要字段时应该返回 400', async () => {
58
      const invalidUser = {
59
        name: '赵六'
60
        // 缺少 email
61
      };
62

63
      const response = await request(app)
64
        .post('/api/users')
65
        .send(invalidUser)
66
        .expect(400);
67

68
      expect(response.body).toHaveProperty('error', '姓名和邮箱不能为空');
69
    });
70

71
    test('邮箱格式无效时应该返回 400', async () => {
72
      const invalidUser = {
73
        name: '赵六',
74
        email: 'invalid-email'
75
      };
76

77
      const response = await request(app)
78
        .post('/api/users')
79
        .send(invalidUser)
80
        .expect(400);
81
    });
82
  });
83

84
  describe('PUT /api/users/:id', () => {
85
    test('应该更新用户信息', async () => {
86
      const updatedData = {
87
        name: '张三（更新）'
88
      };
89

90
      const response = await request(app)
91
        .put('/api/users/1')
92
        .send(updatedData)
93
        .expect(200);
94

95
      expect(response.body.name).toBe(updatedData.name);
96
    });
97

98
    test('用户不存在时应该返回 404', async () => {
99
      const response = await request(app)
100
        .put('/api/users/999')
101
        .send({ name: '测试' })
102
        .expect(404);
103
    });
104
  });
105

106
  describe('DELETE /api/users/:id', () => {
107
    test('应该删除用户', async () => {
108
      await request(app)
109
        .delete('/api/users/2')
110
        .expect(204);
111

112
      // 验证用户已被删除
113
      await request(app)
114
        .get('/api/users/2')
115
        .expect(404);
116
    });
117

118
    test('用户不存在时应该返回 404', async () => {
119
      await request(app)
120
        .delete('/api/users/999')
121
        .expect(404);
122
    });
123
  });
124
});

15.3 测试数据库操作#

🎯 使用测试数据库#

在生产环境中，应该使用独立的测试数据库，避免影响生产数据。

1
const mongoose = require('mongoose');
2
const User = require('./models/User');
3

4
describe('用户模型测试', () => {
5
  // 在所有测试之前连接数据库
6
  beforeAll(async () => {
7
    await mongoose.connect('mongodb://localhost:27017/test_db', {
8
      useNewUrlParser: true,
9
      useUnifiedTopology: true
10
    });
11
  });
12

13
  // 在所有测试之后断开连接
14
  afterAll(async () => {
15
    await mongoose.connection.close();
16
  });
17

18
  // 在每个测试之前清空数据库
19
  beforeEach(async () => {
20
    await User.deleteMany({});
21
  });
22

23
  test('应该创建用户', async () => {
24
    const userData = {
25
      name: '张三',
26
      email: 'zhangsan@example.com'
27
    };
28

29
    const user = await User.create(userData);
30

31
    expect(user).toHaveProperty('_id');
32
    expect(user.name).toBe(userData.name);
33
    expect(user.email).toBe(userData.email);
34
  });
35

36
  test('应该查找用户', async () => {
37
    const userData = {
38
      name: '李四',
39
      email: 'lisi@example.com'
40
    };
41

42
    await User.create(userData);
43

44
    const user = await User.findOne({ email: userData.email });
45

46
    expect(user).not.toBeNull();
47
    expect(user.name).toBe(userData.name);
48
  });
49

50
  test('应该更新用户', async () => {
51
    const user = await User.create({
52
      name: '王五',
53
      email: 'wangwu@example.com'
54
    });
55

56
    user.name = '王五（更新）';
57
    await user.save();
58

59
    const updatedUser = await User.findById(user._id);
60

61
    expect(updatedUser.name).toBe('王五（更新）');
62
  });
63

64
  test('应该删除用户', async () => {
65
    const user = await User.create({
66
      name: '赵六',
67
      email: 'zhaoliu@example.com'
68
    });
69

70
    await User.findByIdAndDelete(user._id);
71

72
    const deletedUser = await User.findById(user._id);
73

74
    expect(deletedUser).toBeNull();
75
  });
76
});

15.4 测试异步代码#

🎯 测试异步函数#

1
/**
2
 * 模拟异步获取用户数据
3
 * @param {number} userId - 用户 ID
4
 * @returns {Promise<Object>} 用户数据
5
 */
6
async function fetchUser(userId) {
7
  // 模拟 API 调用
8
  return new Promise((resolve, reject) => {
9
    setTimeout(() => {
10
      if (userId > 0) {
11
        resolve({
12
          id: userId,
13
          name: `用户${userId}`,
14
          email: `user${userId}@example.com`
15
        });
16
      } else {
17
        reject(new Error('无效的用户 ID'));
18
      }
19
    }, 100);
20
  });
21
}
22

23
/**
24
 * 模拟异步保存用户数据
25
 * @param {Object} userData - 用户数据
26
 * @returns {Promise<Object>} 保存后的用户数据
27
 */
28
async function saveUser(userData) {
29
  return new Promise((resolve) => {
30
    setTimeout(() => {
31
      resolve({
32
        ...userData,
33
        id: Date.now(),
34
        createdAt: new Date()
35
      });
36
    }, 100);
37
  });
38
}
39

40
module.exports = {
41
  fetchUser,
42
  saveUser
43
};

测试文件：

1
const { fetchUser, saveUser } = require('./asyncFunctions');
2

3
describe('fetchUser 函数测试', () => {
4
  test('应该成功获取用户数据', async () => {
5
    const user = await fetchUser(1);
6

7
    expect(user).toHaveProperty('id', 1);
8
    expect(user).toHaveProperty('name');
9
    expect(user).toHaveProperty('email');
10
  });
11

12
  test('无效 ID 时应该抛出错误', async () => {
13
    await expect(fetchUser(-1)).rejects.toThrow('无效的用户 ID');
14
  });
15

16
  test('应该处理超时情况', async () => {
17
    // 设置超时时间
18
    await expect(fetchUser(1)).resolves.toBeDefined();
19
  }, 1000); // 1 秒超时
20
});
21

22
describe('saveUser 函数测试', () => {
23
  test('应该成功保存用户数据', async () => {
24
    const userData = {
25
      name: '张三',
26
      email: 'zhangsan@example.com'
27
    };
28

29
    const savedUser = await saveUser(userData);
30

31
    expect(savedUser).toHaveProperty('id');
32
    expect(savedUser).toHaveProperty('createdAt');
33
    expect(savedUser.name).toBe(userData.name);
34
  });
35
});

15.5 测试覆盖率#

测试覆盖率衡量代码被测试的程度。

📊 生成覆盖率报告#

1
npm run test:coverage

Jest 会生成一个覆盖率报告，通常包含：

语句覆盖率（Statements）：有多少语句被执行
分支覆盖率（Branches）：有多少分支被测试
函数覆盖率（Functions）：有多少函数被调用
行覆盖率（Lines）：有多少行代码被执行

🎯 配置覆盖率阈值#

在 package.json 中配置：

1
{
2
  "jest": {
3
    "collectCoverage": true,
4
    "coverageThreshold": {
5
      "global": {
6
        "branches": 80,
7
        "functions": 80,
8
        "lines": 80,
9
        "statements": 80
10
      }
11
    }
12
  }
13
}

15.6 测试最佳实践#

✅ DO（应该做的）#

测试应该独立

1
// ✅ 每个测试独立运行
2
test('应该创建用户', async () => {
3
  const user = await User.create({ name: '张三' });
4
  expect(user.name).toBe('张三');
5
});
6

7
test('应该删除用户', async () => {
8
  // 不依赖前面的测试
9
  const user = await User.create({ name: '李四' });
10
  await User.findByIdAndDelete(user._id);
11
  const deleted = await User.findById(user._id);
12
  expect(deleted).toBeNull();
13
});

使用描述性的测试名称

1
// ✅ 清晰的测试名称
2
test('当用户不存在时，应该返回 404', async () => {
3
  // ...
4
});
5

6
// ❌ 不清晰的测试名称
7
test('测试 1', async () => {
8
  // ...
9
});

遵循 AAA 模式（Arrange-Act-Assert）

1
test('应该更新用户信息', async () => {
2
  // Arrange（准备）
3
  const user = await User.create({ name: '张三' });
4
  const updatedData = { name: '张三（更新）' };
5

6
  // Act（执行）
7
  user.name = updatedData.name;
8
  await user.save();
9

10
  // Assert（断言）
11
  const updatedUser = await User.findById(user._id);
12
  expect(updatedUser.name).toBe(updatedData.name);
13
});

使用 beforeEach 和 afterEach

1
describe('用户 API 测试', () => {
2
  beforeEach(async () => {
3
    // 每个测试前执行
4
    await User.deleteMany({});
5
  });
6

7
  afterEach(async () => {
8
    // 每个测试后执行
9
    await User.deleteMany({});
10
  });
11

12
  test('应该创建用户', async () => {
13
    // 测试代码
14
  });
15
});

❌ DON’T（不应该做的）#

不要测试第三方库

1
// ❌ 不要测试 Express.js 本身
2
test('Express 应该能处理 GET 请求', async () => {
3
  // 这是 Express.js 的责任，不是你的
4
});
5

6
// ✅ 测试你的业务逻辑
7
test('应该返回用户列表', async () => {
8
  const response = await request(app).get('/api/users');
9
  expect(response.body).toBeInstanceOf(Array);
10
});

不要在测试中硬编码数据

1
// ❌ 硬编码
2
test('应该返回用户', async () => {
3
  const user = await User.findById(1);
4
  expect(user.name).toBe('张三');
5
});
6

7
// ✅ 动态创建
8
test('应该返回用户', async () => {
9
  const user = await User.create({ name: '张三' });
10
  const found = await User.findById(user._id);
11
  expect(found.name).toBe('张三');
12
});

不要忽略异步操作

1
// ❌ 忘记 await
2
test('应该创建用户', async () => {
3
  User.create({ name: '张三' });
4
  expect(User.count()).toBe(1);  // 可能失败
5
});
6

7
// ✅ 正确处理异步
8
test('应该创建用户', async () => {
9
  await User.create({ name: '张三' });
10
  expect(await User.count()).toBe(1);
11
});

15.7 常见测试场景#

场景 1：测试身份验证#

1
describe('身份验证测试', () => {
2
  let token;
3

4
  beforeEach(async () => {
5
    // 登录获取 token
6
    const response = await request(app)
7
      .post('/api/login')
8
      .send({ username: 'admin', password: 'password' });
9

10
    token = response.body.token;
11
  });
12

13
  test('应该拒绝未认证的请求', async () => {
14
    await request(app)
15
      .get('/api/protected')
16
      .expect(401);
17
  });
18

19
  test('应该接受有效的 token', async () => {
20
    await request(app)
21
      .get('/api/protected')
22
      .set('Authorization', `Bearer ${token}`)
23
      .expect(200);
24
  });
25

26
  test('应该拒绝无效的 token', async () => {
27
    await request(app)
28
      .get('/api/protected')
29
      .set('Authorization', 'Bearer invalid-token')
30
      .expect(401);
31
  });
32
});

场景 2：测试文件上传#

1
describe('文件上传测试', () => {
2
  test('应该成功上传文件', async () => {
3
    const response = await request(app)
4
      .post('/api/upload')
5
      .attach('file', './test/fixtures/test.png')
6
      .expect(200);
7

8
    expect(response.body).toHaveProperty('filename');
9
    expect(response.body).toHaveProperty('path');
10
  });
11

12
  test('应该拒绝不支持的文件类型', async () => {
13
    await request(app)
14
      .post('/api/upload')
15
      .attach('file', './test/fixtures/test.exe')
16
      .expect(400);
17
  });
18
});

场景 3：测试错误处理#

1
describe('错误处理测试', () => {
2
  test('应该捕获数据库错误', async () => {
3
    // 模拟数据库错误
4
    jest.spyOn(User, 'create').mockRejectedValue(new Error('数据库错误'));
5

6
    await request(app)
7
      .post('/api/users')
8
      .send({ name: '张三', email: 'zhangsan@example.com' })
9
      .expect(500);
10
  });
11

12
  test('应该返回友好的错误消息', async () => {
13
    const response = await request(app)
14
      .post('/api/users')
15
      .send({ name: '张三' })  // 缺少 email
16
      .expect(400);
17

18
    expect(response.body).toHaveProperty('error');
19
    expect(response.body.error).toContain('邮箱');
20
  });
21
});

15.8 持续集成中的测试#

在 CI/CD 流程中自动运行测试。

📝 GitHub Actions 示例#

创建 .github/workflows/test.yml：

1
name: 运行测试
2

3
on: [push, pull_request]
4

5
jobs:
6
  test:
7
    runs-on: ubuntu-latest
8

9
    strategy:
10
      matrix:
11
        node-version: [14.x, 16.x, 18.x]
12

13
    steps:
14
    - uses: actions/checkout@v2
15

16
    - name: 使用 Node.js ${{ matrix.node-version }}
17
      uses: actions/setup-node@v2
18
      with:
19
        node-version: ${{ matrix.node-version }}
20

21
    - name: 安装依赖
22
      run: npm ci
23

24
    - name: 运行测试
25
      run: npm test
26

27
    - name: 生成覆盖率报告
28
      run: npm run test:coverage
29

30
    - name: 上传覆盖率报告
31
      uses: codecov/codecov-action@v2

15.9 测试工具推荐#

工具	用途	特点
Jest	单元测试、集成测试	零配置、断言丰富、覆盖率报告
Supertest	HTTP 测试	专门测试 Express.js 应用
Mocha	单元测试	灵活、可扩展
Chai	断言库	可读性强
Sinon	Mock/Stub	模拟函数和对象
Cypress	端到端测试	真实浏览器环境
Istanbul	覆盖率工具	详细的覆盖率报告

第十六步：实战练习#

TIP
💡 实践是最好的学习方式：阅读文档只能让你”知道”，动手实践才能让你”真正掌握”。请务必完成这些练习，不要只是看代码！遇到问题时，尝试自己解决，这是提升编程能力的最佳途径。

16.1 练习 1：创建待办事项 API#

1
let todos = [];
2

3
// 获取所有待办事项
4
app.get('/api/todos', (req, res) => {
5
  res.json(todos);
6
});
7

8
// 创建待办事项
9
app.post('/api/todos', (req, res) => {
10
  const { text } = req.body;
11
  const todo = {
12
    id: Date.now(),
13
    text,
14
    completed: false
15
  };
16
  todos.push(todo);
17
  res.status(201).json(todo);
18
});
19

20
// 更新待办事项
21
app.put('/api/todos/:id', (req, res) => {
22
  const todo = todos.find(t => t.id === parseInt(req.params.id));
23
  if (!todo) {
24
    return res.status(404).json({ error: '待办事项不存在' });
25
  }
26

27
  todo.text = req.body.text || todo.text;
28
  todo.completed = req.body.completed !== undefined ? req.body.completed : todo.completed;
29

30
  res.json(todo);
31
});
32

33
// 删除待办事项
34
app.delete('/api/todos/:id', (req, res) => {
35
  const index = todos.findIndex(t => t.id === parseInt(req.params.id));
36
  if (index === -1) {
37
    return res.status(404).json({ error: '待办事项不存在' });
38
  }
39

40
  todos.splice(index, 1);
41
  res.status(204).send();
42
});

16.2 练习 2：创建博客 API#

1
let posts = [];
2

3
// 获取所有文章
4
app.get('/api/posts', (req, res) => {
5
  const { category } = req.query;
6
  let filteredPosts = posts;
7

8
  if (category) {
9
    filteredPosts = posts.filter(p => p.category === category);
10
  }
11

12
  res.json(filteredPosts);
13
});
14

15
// 获取单篇文章
16
app.get('/api/posts/:id', (req, res) => {
17
  const post = posts.find(p => p.id === parseInt(req.params.id));
18
  if (!post) {
19
    return res.status(404).json({ error: '文章不存在' });
20
  }
21
  res.json(post);
22
});
23

24
// 创建文章
25
app.post('/api/posts', (req, res) => {
26
  const { title, content, category } = req.body;
27
  const post = {
28
    id: Date.now(),
29
    title,
30
    content,
31
    category,
32
    createdAt: new Date(),
33
    updatedAt: new Date()
34
  };
35
  posts.push(post);
36
  res.status(201).json(post);
37
});
38

39
// 更新文章
40
app.put('/api/posts/:id', (req, res) => {
41
  const post = posts.find(p => p.id === parseInt(req.params.id));
42
  if (!post) {
43
    return res.status(404).json({ error: '文章不存在' });
44
  }
45

46
  post.title = req.body.title || post.title;
47
  post.content = req.body.content || post.content;
48
  post.category = req.body.category || post.category;
49
  post.updatedAt = new Date();
50

51
  res.json(post);
52
});
53

54
// 删除文章
55
app.delete('/api/posts/:id', (req, res) => {
56
  const index = posts.findIndex(p => p.id === parseInt(req.params.id));
57
  if (index === -1) {
58
    return res.status(404).json({ error: '文章不存在' });
59
  }
60

61
  posts.splice(index, 1);
62
  res.status(204).send();
63
});

第十七步：项目结构最佳实践#

🗺️ Express.js 应用架构#

graph TD A[Express.js 应用] --> B[客户端 浏览器/移动端] A --> C[API 网关] C --> D[路由层 routes目录] D --> D1[index.js] D --> D2[users.js] D --> D3[posts.js] D1 --> E[中间件层 middleware目录] D2 --> E D3 --> E E --> E1[auth.js 身份验证] E --> E2[error.js 错误处理] E --> E3[logger.js 日志记录] E1 --> F[控制器层 controllers目录] E2 --> F E3 --> F F --> F1[用户控制器] F --> F2[文章控制器] F1 --> G[服务层 services目录] F2 --> G G --> G1[用户服务] G --> G2[文章服务] G1 --> H[数据访问层 models目录] G2 --> H H --> H1[User.js MongoDB Schema] H --> H2[Post.js MongoDB Schema] H1 --> I[数据库 MongoDB/MySQL] H2 --> I A --> J[静态文件 public目录] A --> K[模板文件 views目录] A --> L[配置文件 config目录] style A fill:#e1f5ff style B fill:#c8e6c9 style C fill:#fff4e1 style D fill:#fff9c4 style E fill:#fce4ec style F fill:#e8f5e9 style G fill:#fff4e1 style H fill:#fce4ec style I fill:#ffccbc style J fill:#c8e6c9 style K fill:#c8e6c9 style L fill:#c8e6c9

分层架构说明：

路由层：定义 API 端点，处理请求路由
中间件层：处理身份验证、错误处理、日志等
控制器层：处理业务逻辑，协调服务层
服务层：封装业务逻辑，处理复杂操作
数据访问层：定义数据模型，与数据库交互

17.1 推荐的项目结构#

1
my-express-app/
2
├── bin/
3
│   └── www              # 应用启动脚本
4
├── public/              # 静态文件
5
│   ├── images/
6
│   ├── javascripts/
7
│   └── stylesheets/
8
├── routes/              # 路由文件
9
│   ├── index.js
10
│   ├── users.js
11
│   └── posts.js
12
├── views/               # 模板文件
13
│   ├── index.ejs
14
│   └── error.ejs
15
├── models/              # 数据模型
16
│   ├── User.js
17
│   └── Post.js
18
├── middleware/          # 自定义中间件
19
│   ├── auth.js
20
│   └── error.js
21
├── config/              # 配置文件
22
│   ├── database.js
23
│   └── config.js
24
├── app.js               # 应用主文件
25
└── package.json

17.2 环境变量#

1
npm install dotenv

创建 .env 文件：

1
PORT=3000
2
NODE_ENV=development
3
DB_URI=mongodb://localhost:27017/myapp

在应用中使用：

1
require('dotenv').config();
2

3
const PORT = process.env.PORT || 3000;
4
const DB_URI = process.env.DB_URI;
5

6
app.listen(PORT, () => {
7
  console.log(`服务器运行在端口 ${PORT}`);
8
});

第十八步：部署上线#

TIP
💡 部署前的准备工作：在部署应用之前，请确保：

✅ 已完成所有功能测试

✅ 已修复所有已知 bug

✅ 已配置环境变量（数据库连接、密钥等）

✅ 已设置错误日志和监控

✅ 已配置 HTTPS（生产环境）

✅ 已准备好回滚方案

18.1 准备部署#

1
# 安装生产依赖
2
npm install --production
3

4
# 设置环境变量
5
export NODE_ENV=production
6
export PORT=80

18.2 使用 PM2 管理进程#

1
# 全局安装 PM2
2
npm install -g pm2
3

4
# 启动应用
5
pm2 start app.js --name my-app
6

7
# 查看状态
8
pm2 status
9

10
# 查看日志
11
pm2 logs
12

13
# 重启应用
14
pm2 restart my-app
15

16
# 停止应用
17
pm2 stop my-app
18

19
# 设置开机自启动
20
pm2 startup
21
pm2 save

18.3 使用 Docker#

创建 Dockerfile：

1
FROM node:18-alpine
2

3
WORKDIR /app
4

5
COPY package*.json ./
6
RUN npm install --production
7

8
COPY . .
9

10
EXPOSE 3000
11

12
CMD ["node", "app.js"]

构建和运行：

1
# 构建镜像
2
docker build -t my-express-app .
3

4
# 运行容器
5
docker run -p 3000:3000 my-express-app

18.4 部署到云平台#

Vercel#

1
npm install -g vercel
2
vercel

Heroku#

1
# 安装 Heroku CLI
2
npm install -g heroku
3

4
# 登录
5
heroku login
6

7
# 创建应用
8
heroku create
9

10
# 部署
11
git push heroku main

第十九步：学习资源推荐#

官方资源#

Express.js 官方文档
- https://expressjs.com/zh-cn/
Node.js 官方文档
- https://nodejs.org/zh-cn/docs/

教程推荐#

Express.js 教程（菜鸟教程）
- https://www.runoob.com/nodejs/nodejs-express-framework.html
Express.js 视频教程
- B站搜索”Express.js 入门”

实践项目#

简单的博客系统
待办事项应用
RESTful API 服务
实时聊天应用（使用 Socket.io）

第二十步：常见问题#

Q1: Express.js 和 Koa.js 有什么区别？#

Express.js：更成熟，中间件生态丰富，适合快速开发
Koa.js：更轻量，使用 async/await，更灵活，适合有经验的开发者

Q2: 如何处理跨域问题？#

A: 使用 cors 中间件：

1
const cors = require('cors');
2
app.use(cors());

Q3: 如何实现用户认证？#

A: 使用 jsonwebtoken 和 bcrypt：

1
npm install jsonwebtoken bcrypt

Q4: 如何优化 Express.js 应用性能？#

使用 gzip 压缩
启用缓存
使用集群模式
优化数据库查询
使用 CDN

Q5: Express.js 适合大型项目吗？#

A: Express.js 本身是轻量级的，但通过合理的项目结构和中间件组合，完全可以用于大型项目。对于复杂项目，可以考虑使用基于 Express 的框架，如 NestJS。

第二十一步：性能优化#

NOTE
📝 性能优化的时机：不要过早优化！在应用功能完善之前，不要花太多时间优化性能。先让应用跑起来，然后通过性能分析工具找出真正的瓶颈，再有针对性地进行优化。过早优化往往是浪费时间。

性能优化是构建高性能 Express.js 应用的关键。通过合理的优化策略，可以显著提升应用的响应速度和并发处理能力。

11.1 响应时间优化#

使用 gzip 压缩#

1
npm install compression

1
const compression = require('compression');
2

3
// 启用 gzip 压缩
4
app.use(compression());
5

6
// 配置压缩选项
7
app.use(compression({
8
  filter: (req, res) => {
9
    if (req.headers['x-no-compression']) {
10
      // 不压缩请求头包含 x-no-compression 的请求
11
      return false;
12
    }
13
    return compression.filter(req, res);
14
  },
15
  threshold: 1024  // 只压缩大于 1KB 的响应
16
}));

减少响应数据量#

1
// ❌ 不好的做法：返回所有字段
2
app.get('/api/users', async (req, res) => {
3
  const users = await User.find();
4
  res.json(users);
5
});
6

7
// ✅ 好的做法：只返回需要的字段
8
app.get('/api/users', async (req, res) => {
9
  const users = await User.find({}, { name: 1, email: 1 });
10
  res.json(users);
11
});
12

13
// ✅ 更好的做法：使用分页
14
app.get('/api/users', async (req, res) => {
15
  const page = parseInt(req.query.page) || 1;
16
  const limit = parseInt(req.query.limit) || 10;
17
  const skip = (page - 1) * limit;
18

19
  const [users, total] = await Promise.all([
20
    User.find().skip(skip).limit(limit),
21
    User.countDocuments()
22
  ]);
23

24
  res.json({
25
    data: users,
26
    pagination: {
27
      page,
28
      limit,
29
      total,
30
      totalPages: Math.ceil(total / limit)
31
    }
32
  });
33
});

11.2 内存优化#

使用流式处理大文件#

1
const fs = require('fs');
2

3
// ❌ 不好的做法：一次性读取整个文件到内存
4
app.get('/download', (req, res) => {
5
  const data = fs.readFileSync('large-file.pdf');
6
  res.send(data);
7
});
8

9
// ✅ 好的做法：使用流式处理
10
app.get('/download', (req, res) => {
11
  const fileStream = fs.createReadStream('large-file.pdf');
12
  fileStream.pipe(res);
13
});

及时释放资源#

1
// ❌ 不好的做法：缓存所有数据
2
const cache = {};
3

4
app.get('/api/data', async (req, res) => {
5
  const key = req.params.id;
6
  if (!cache[key]) {
7
    cache[key] = await fetchData(key);
8
  }
9
  res.json(cache[key]);
10
});
11

12
// ✅ 好的做法：使用 LRU 缓存，限制缓存大小
13
const LRU = require('lru-cache');
14
const cache = new LRU({
15
  max: 500,  // 最多缓存 500 个项目
16
  maxAge: 1000 * 60 * 5  // 5 分钟后过期
17
});
18

19
app.get('/api/data', async (req, res) => {
20
  const key = req.params.id;
21
  if (cache.has(key)) {
22
    return res.json(cache.get(key));
23
  }
24
  const data = await fetchData(key);
25
  cache.set(key, data);
26
  res.json(data);
27
});

11.3 并发处理#

使用 Node.js 集群模式#

1
const cluster = require('cluster');
2
const numCPUs = require('os').cpus().length;
3

4
if (cluster.isMaster) {
5
  console.log(`主进程 ${process.pid} 正在运行`);
6

7
  // 衍生工作进程
8
  for (let i = 0; i < numCPUs; i++) {
9
    cluster.fork();
10
  }
11

12
  cluster.on('exit', (worker, code, signal) => {
13
    console.log(`工作进程 ${worker.process.pid} 已退出`);
14
    console.log('正在重启工作进程...');
15
    cluster.fork();
16
  });
17
} else {
18
  // 工作进程可以共享同一个端口
19
  const app = require('./app');
20
  app.listen(3000, () => {
21
    console.log(`工作进程 ${process.pid} 已启动`);
22
  });
23
}

使用 PM2 集群模式#

1
# 使用 PM2 启动集群模式
2
pm2 start app.js -i max
3

4
# 查看集群状态
5
pm2 status

11.4 缓存策略#

使用 Redis 缓存#

1
npm install redis

1
const redis = require('redis');
2
const client = redis.createClient();
3

4
// 缓存中间件
5
const cache = (duration) => {
6
  return async (req, res, next) => {
7
    const key = `cache:${req.originalUrl || req.url}`;
8

9
    try {
10
      // 尝试从缓存获取
11
      const cached = await client.get(key);
12
      if (cached) {
13
        return res.json(JSON.parse(cached));
14
      }
15

16
      // 缓存未命中，继续处理请求
17
      res.sendResponse = res.json;
18
      res.json = (body) => {
19
        // 将响应存入缓存
20
        client.setex(key, duration, JSON.stringify(body));
21
        res.sendResponse(body);
22
      };
23
      next();
24
    } catch (error) {
25
      next();
26
    }
27
  };
28
};
29

30
// 使用缓存中间件
31
app.get('/api/users', cache(60), async (req, res) => {
32
  const users = await User.find();
33
  res.json(users);
34
});

HTTP 缓存头#

1
// 设置缓存头
2
app.get('/api/data', (req, res) => {
3
  const data = fetchData();
4

5
  // 设置缓存头（1 小时）
6
  res.set('Cache-Control', 'public, max-age=3600');
7
  res.set('ETag', generateETag(data));
8

9
  // 检查 ETag
10
  if (req.headers['if-none-match'] === res.get('ETag')) {
11
    return res.status(304).end();
12
  }
13

14
  res.json(data);
15
});
16

17
function generateETag(data) {
18
  return require('crypto')
19
    .createHash('md5')
20
    .update(JSON.stringify(data))
21
    .digest('hex');
22
}

内存缓存#

1
// 使用 Node.js 内置 Map 实现简单缓存
2
const memoryCache = new Map();
3

4
// 缓存中间件
5
const memoryCacheMiddleware = (duration = 60) => {
6
  return (req, res, next) => {
7
    const key = req.originalUrl || req.url;
8

9
    // 检查缓存
10
    if (memoryCache.has(key)) {
11
      const cached = memoryCache.get(key);
12
      if (Date.now() < cached.expiresAt) {
13
        return res.json(cached.data);
14
      }
15
      // 缓存过期，删除
16
      memoryCache.delete(key);
17
    }
18

19
    // 缓存响应
20
    res.sendResponse = res.json;
21
    res.json = (data) => {
22
      memoryCache.set(key, {
23
        data,
24
        expiresAt: Date.now() + duration * 1000
25
      });
26
      res.sendResponse(data);
27
    };
28

29
    next();
30
  };
31
};
32

33
// 使用内存缓存
34
app.get('/api/users', memoryCacheMiddleware(60), async (req, res) => {
35
  const users = await User.find();
36
  res.json(users);
37
});
38

39
// 清除缓存
40
app.delete('/api/cache', (req, res) => {
41
  memoryCache.clear();
42
  res.json({ message: '缓存已清除' });
43
});

缓存失效策略#

1
// 缓存失效策略
2
const CacheStrategy = {
3
  // 基于时间的失效（TTL）
4
  TTL: 'ttl',
5
  // 基于事件的失效（数据更新时）
6
  EVENT: 'event',
7
  // 基于计数的失效（LRU）
8
  LRU: 'lru'
9
};
10

11
// 事件驱动的缓存失效
12
class EventDrivenCache {
13
  constructor() {
14
    this.cache = new Map();
15
    this.subscribers = new Map();
16
  }
17

18
  // 订阅数据变化
19
  subscribe(key, callback) {
20
    if (!this.subscribers.has(key)) {
21
      this.subscribers.set(key, []);
22
    }
23
    this.subscribers.get(key).push(callback);
24
  }
25

26
  // 发布数据变化
27
  publish(key, data) {
28
    // 清除缓存
29
    this.cache.delete(key);
30

31
    // 通知订阅者
32
    if (this.subscribers.has(key)) {
33
      this.subscribers.get(key).forEach(callback => callback(data));
34
    }
35
  }
36

37
  // 获取缓存
38
  get(key) {
39
    return this.cache.get(key);
40
  }
41

42
  // 设置缓存
43
  set(key, value) {
44
    this.cache.set(key, value);
45
  }
46
}
47

48
const eventCache = new EventDrivenCache();
49

50
// 订阅用户数据变化
51
eventCache.subscribe('user:123', (userData) => {
52
  console.log('用户数据已更新:', userData);
53
});
54

55
// 更新用户数据时发布事件
56
app.put('/api/users/:id', async (req, res) => {
57
  const user = await User.findByIdAndUpdate(req.params.id, req.body, { new: true });
58

59
  // 发布数据变化事件
60
  eventCache.publish(`user:${user._id}`, user);
61

62
  res.json(user);
63
});
64

65
// 缓存预热（应用启动时加载热点数据）
66
async function warmUpCache() {
67
  console.log('开始缓存预热...');
68

69
  const popularPosts = await Post.find().sort({ views: -1 }).limit(100);
70
  popularPosts.forEach(post => {
71
    eventCache.set(`post:${post._id}`, post);
72
  });
73

74
  console.log('缓存预热完成');
75
}
76

77
// 应用启动时执行缓存预热
78
warmUpCache();

11.5 数据库查询优化#

使用索引#

1
// MongoDB 索引
2
const userSchema = new mongoose.Schema({
3
  email: { type: String, unique: true },
4
  name: String,
5
  age: Number
6
});
7

8
// 为常用查询字段添加索引
9
userSchema.index({ email: 1 });
10
userSchema.index({ age: 1 });
11
userSchema.index({ name: 1, age: 1 });  // 复合索引
12

13
const User = mongoose.model('User', userSchema);

优化查询#

1
// ❌ 不好的做法：N+1 查询问题
2
app.get('/api/posts', async (req, res) => {
3
  const posts = await Post.find();
4
  for (const post of posts) {
5
    post.author = await User.findById(post.authorId);  // N+1 查询
6
  }
7
  res.json(posts);
8
});
9

10
// ✅ 好的做法：使用 populate
11
app.get('/api/posts', async (req, res) => {
12
  const posts = await Post.find().populate('authorId', 'name email');
13
  res.json(posts);
14
});
15

16
// ✅ 更好的做法：只查询需要的字段
17
app.get('/api/posts', async (req, res) => {
18
  const posts = await Post.find()
19
    .select('title content createdAt')
20
    .populate('authorId', 'name')
21
    .sort({ createdAt: -1 })
22
    .limit(20);
23
  res.json(posts);
24
});

使用连接池#

1
// MySQL 连接池配置
2
const mysql = require('mysql2/promise');
3

4
const pool = mysql.createPool({
5
  host: 'localhost',
6
  user: 'root',
7
  password: 'password',
8
  database: 'myapp',
9
  waitForConnections: true,
10
  connectionLimit: 10,  // 最大连接数
11
  queueLimit: 0
12
});
13

14
// 使用连接池查询
15
app.get('/api/users', async (req, res) => {
16
  try {
17
    const [rows] = await pool.query('SELECT * FROM users LIMIT 10');
18
    res.json(rows);
19
  } catch (error) {
20
    res.status(500).json({ error: error.message });
21
  }
22
});

11.6 静态资源优化#

使用 CDN#

1
// 开发环境使用本地静态文件
2
if (process.env.NODE_ENV === 'development') {
3
  app.use(express.static('public'));
4
} else {
5
  // 生产环境使用 CDN
6
  app.use((req, res, next) => {
7
    if (req.url.startsWith('/static/')) {
8
      return res.redirect(`https://cdn.example.com${req.url}`);
9
    }
10
    next();
11
  });
12
}

压缩静态资源#

1
npm install shrink-ray-current

1
const shrinkRay = require('shrink-ray-current');
2

3
// 压缩 HTML、CSS、JavaScript
4
app.use(shrinkRay());

11.7 日志与监控#

日志管理#

1
npm install winston morgan

1
const winston = require('winston');
2
const morgan = require('morgan');
3

4
// 配置 Winston 日志
5
const logger = winston.createLogger({
6
  level: 'info',
7
  format: winston.format.combine(
8
    winston.format.timestamp(),
9
    winston.format.errors({ stack: true }),
10
    winston.format.json()
11
  ),
12
  defaultMeta: { service: 'express-app' },
13
  transports: [
14
    // 写入所有日志到 combined.log
15
    new winston.transports.File({ filename: 'logs/error.log', level: 'error' }),
16
    new winston.transports.File({ filename: 'logs/combined.log' })
17
  ]
18
});
19

20
// 生产环境不输出到控制台
21
if (process.env.NODE_ENV !== 'production') {
22
  logger.add(new winston.transports.Console({
23
    format: winston.format.simple()
24
  }));
25
}
26

27
// 使用 Morgan 记录 HTTP 请求
28
app.use(morgan('combined', {
29
  stream: {
30
    write: (message) => logger.info(message.trim())
31
  }
32
}));
33

34
// 在应用中使用日志
35
app.get('/api/test', (req, res) => {
36
  logger.info('测试接口被调用', { ip: req.ip, userAgent: req.headers['user-agent'] });
37

38
  try {
39
    const data = fetchData();
40
    logger.info('数据获取成功', { count: data.length });
41
    res.json(data);
42
  } catch (error) {
43
    logger.error('数据获取失败', { error: error.message, stack: error.stack });
44
    res.status(500).json({ error: '服务器错误' });
45
  }
46
});

性能监控#

1
npm install express-status-monitor prom-client

1
const statusMonitor = require('express-status-monitor');
2
const promClient = require('prom-client');
3

4
// 添加状态监控页面
5
app.use(statusMonitor({
6
  title: 'Express Status Monitor',
7
  path: '/status',
8
  spans: [
9
    { interval: 1, retention: 60 },
10
    { interval: 5, retention: 60 },
11
    { interval: 15, retention: 60 }
12
  ]
13
}));
14

15
// Prometheus 指标收集
16
const httpRequestDurationMicroseconds = new promClient.Histogram({
17
  name: 'http_request_duration_seconds',
18
  help: 'Duration of HTTP requests in seconds',
19
  labelNames: ['method', 'route', 'code'],
20
  buckets: [0.1, 0.5, 1, 1.5, 2, 5]
21
});
22

23
// 请求监控中间件
24
app.use((req, res, next) => {
25
  const start = Date.now();
26

27
  res.on('finish', () => {
28
    const duration = Date.now() - start;
29
    httpRequestDurationMicroseconds.observe(
30
      {
31
        method: req.method,
32
        route: req.route ? req.route.path : req.path,
33
        code: res.statusCode
34
      },
35
      duration / 1000
36
    );
37
  });
38

39
  next();
40
});
41

42
// 暴露 Prometheus 指标
43
app.get('/metrics', (req, res) => {
44
  res.set('Content-Type', promClient.register.contentType);
45
  res.end(promClient.register.metrics());
46
});
47

48
// 访问 http://localhost:3000/status 查看性能监控
49
// 访问 http://localhost:3000/metrics 查看 Prometheus 指标

错误追踪#

1
npm install @sentry/node

1
const Sentry = require('@sentry/node');
2

3
// 配置 Sentry
4
Sentry.init({
5
  dsn: process.env.SENTRY_DSN,
6
  environment: process.env.NODE_ENV,
7
  tracesSampleRate: 1.0,
8
});
9

10
// Sentry 错误处理中间件
11
app.use(Sentry.Handlers.requestHandler());
12
app.use(Sentry.Handlers.tracingHandler());
13

14
// 在路由中使用 Sentry
15
app.get('/api/test', async (req, res) => {
16
  try {
17
    const data = await fetchData();
18
    res.json(data);
19
  } catch (error) {
20
    // 发送错误到 Sentry
21
    Sentry.captureException(error);
22
    res.status(500).json({ error: '服务器错误' });
23
  }
24
});
25

26
// Sentry 错误处理（必须在所有路由之后）
27
app.use(Sentry.Handlers.errorHandler());
28

29
// 自定义错误处理
30
app.use((err, req, res, next) => {
31
  // 记录错误
32
  logger.error('未捕获的错误', {
33
    error: err.message,
34
    stack: err.stack,
35
    url: req.url,
36
    method: req.method,
37
    ip: req.ip
38
  });
39

40
  // 发送到 Sentry
41
  Sentry.captureException(err);
42

43
  res.status(500).json({ error: '服务器错误' });
44
});

告警系统#

1
const nodemailer = require('nodemailer');
2

3
// 配置邮件发送器
4
const transporter = nodemailer.createTransport({
5
  host: process.env.SMTP_HOST,
6
  port: process.env.SMTP_PORT,
7
  secure: false,
8
  auth: {
9
    user: process.env.SMTP_USER,
10
    pass: process.env.SMTP_PASS
11
  }
12
});
13

14
// 告警规则
15
const alertRules = {
16
  // 错误率告警
17
  errorRate: {
18
    threshold: 0.1,  // 10% 错误率
19
    window: 60000,   // 1 分钟窗口
20
    count: 0,
21
    total: 0
22
  },
23
  // 响应时间告警
24
  responseTime: {
25
    threshold: 3000,  // 3 秒
26
    violations: 0,
27
    maxViolations: 5
28
  }
29
};
30

31
// 发送告警邮件
32
async function sendAlert(type, message) {
33
  const mailOptions = {
34
    from: process.env.ALERT_FROM,
35
    to: process.env.ALERT_TO,
36
    subject: `[告警] ${type}`,
37
    text: message
38
  };
39

40
  try {
41
    await transporter.sendMail(mailOptions);
42
    logger.info('告警邮件已发送', { type });
43
  } catch (error) {
44
    logger.error('发送告警邮件失败', { error: error.message });
45
  }
46
}
47

48
// 监控错误率
49
app.use((req, res, next) => {
50
  const originalSend = res.send;
51

52
  res.send = function (data) {
53
    alertRules.errorRate.total++;
54

55
    if (res.statusCode >= 400) {
56
      alertRules.errorRate.count++;
57
    }
58

59
    // 检查错误率
60
    const errorRate = alertRules.errorRate.count / alertRules.errorRate.total;
61
    if (errorRate > alertRules.errorRate.threshold) {
62
      sendAlert('错误率过高', `错误率: ${(errorRate * 100).toFixed(2)}%`);
63
    }
64

65
    originalSend.call(this, data);
66
  };
67

68
  next();
69
});
70

71
// 定期重置计数器
72
setInterval(() => {
73
  alertRules.errorRate.count = 0;
74
  alertRules.errorRate.total = 0;
75
}, alertRules.errorRate.window);
76

77
// 健康检查端点
78
app.get('/health', (req, res) => {
79
  const health = {
80
    status: 'ok',
81
    timestamp: new Date().toISOString(),
82
    uptime: process.uptime(),
83
    memory: process.memoryUsage(),
84
    errorRate: alertRules.errorRate.count / alertRules.errorRate.total
85
  };
86

87
  res.json(health);
88
});

使用 PM2 监控#

1
# 实时监控
2
pm2 monit
3

4
# 查看日志
5
pm2 logs
6

7
# 查看详细信息
8
pm2 show app-name
9

10
# 设置告警
11
pm2 install pm2-logrotate
12
pm2 set pm2-logrotate:max_size 10M
13
pm2 set pm2-logrotate:retain 7

11.8 性能优化总结#

优化策略	工具/技术	预期效果
响应时间优化	gzip 压缩、减少数据量	减少 50-70% 响应时间
内存优化	流式处理、LRU 缓存	减少 30-50% 内存使用
并发处理	集群模式、PM2	提高 2-4 倍并发能力
缓存策略	Redis、内存缓存、HTTP 缓存	减少 80-90% 数据库查询
数据库优化	索引、连接池、查询优化	提高 3-10 倍查询速度
静态资源优化	CDN、压缩	减少 40-60% 加载时间
日志与监控	Winston、Sentry、Prometheus	实时监控，快速定位问题

1
npm install express-status-monitor

1
const statusMonitor = require('express-status-monitor');
2

3
// 添加状态监控页面
4
app.use(statusMonitor({
5
  title: 'Express Status Monitor',
6
  path: '/status',
7
  spans: [
8
    { interval: 1, retention: 60 },    // 1 分钟间隔，保留 60 个数据点
9
    { interval: 5, retention: 60 },
10
    { interval: 15, retention: 60 }
11
  ]
12
}));
13

14
// 访问 http://localhost:3000/status 查看性能监控

使用 PM2 监控#

1
# 实时监控
2
pm2 monit
3

4
# 查看日志
5
pm2 logs
6

7
# 查看详细信息
8
pm2 show app-name

第二十二步：安全最佳实践#

🚨 安全是 Web 应用的生命线：一旦应用上线，就会面临各种安全威胁。不要等到被攻击后才重视安全！在开发阶段就应该遵循安全最佳实践，定期进行安全审计，保护用户数据和系统安全。

安全是 Web 应用开发中不可忽视的重要环节。本节将介绍常见的安全威胁及其防护措施。

12.1 常见安全威胁#

威胁类型	描述	影响
SQL 注入	在查询中注入恶意 SQL 代码	数据泄露、数据篡改
XSS（跨站脚本）	在网页中注入恶意脚本	用户信息泄露、会话劫持
CSRF（跨站请求伪造）	伪造用户请求	未授权操作
DDoS 攻击	大量请求导致服务瘫痪	服务不可用
暴力破解	尝试大量密码组合	账户被盗

12.2 SQL 注入防护#

使用参数化查询#

1
// ❌ 不好的做法：直接拼接 SQL
2
app.get('/api/users/:id', async (req, res) => {
3
  const userId = req.params.id;
4
  const query = `SELECT * FROM users WHERE id = ${userId}`;  // 危险！
5
  const [rows] = await pool.query(query);
6
  res.json(rows);
7
});
8

9
// ✅ 好的做法：使用参数化查询
10
app.get('/api/users/:id', async (req, res) => {
11
  const userId = req.params.id;
12
  const [rows] = await pool.query('SELECT * FROM users WHERE id = ?', [userId]);
13
  res.json(rows);
14
});
15

16
// ✅ 更好的做法：使用 ORM
17
app.get('/api/users/:id', async (req, res) => {
18
  const user = await User.findById(req.params.id);
19
  res.json(user);
20
});

🚨 永远不要信任用户输入：用户输入可能包含恶意代码，永远不要直接拼接 SQL 语句。使用参数化查询或 ORM 可以有效防止 SQL 注入攻击。这是一个必须遵守的安全原则！

使用 Mongoose 的验证#

1
const userSchema = new mongoose.Schema({
2
  name: {
3
    type: String,
4
    required: true,
5
    trim: true,
6
    minlength: 2,
7
    maxlength: 50
8
  },
9
  email: {
10
    type: String,
11
    required: true,
12
    unique: true,
13
    lowercase: true,
14
    trim: true,
15
    validate: {
16
      validator: function(v) {
17
        return /^[^\s@]+@[^\s@]+\.[^\s@]+$/.test(v);
18
      },
19
      message: '请输入有效的邮箱地址'
20
    }
21
  }
22
});

12.3 XSS 防护#

使用 helmet#

1
npm install helmet

1
const helmet = require('helmet');
2

3
// 启用 helmet 中间件
4
app.use(helmet());
5

6
// 配置 Content Security Policy
7
app.use(helmet.contentSecurityPolicy({
8
  directives: {
9
    defaultSrc: ["'self'"],
10
    styleSrc: ["'self'", "'unsafe-inline'"],
11
    scriptSrc: ["'self'", "'unsafe-inline'", "'unsafe-eval'"],
12
    imgSrc: ["'self'", "data:", "https:"],
13
  }
14
}));

转义用户输入#

1
const xss = require('xss');
2

3
// 转义用户输入
4
app.post('/api/comments', async (req, res) => {
5
  const { content } = req.body;
6

7
  // 转义 HTML 标签
8
  const sanitizedContent = xss(content);
9

10
  const comment = await Comment.create({ content: sanitizedContent });
11
  res.json(comment);
12
});

12.4 CSRF 防护#

使用 csurf#

1
npm install csurf cookie-parser

1
const cookieParser = require('cookie-parser');
2
const csrf = require('csurf');
3

4
app.use(cookieParser());
5
app.use(csrf({ cookie: true }));
6

7
// 提供 CSRF Token
8
app.get('/api/csrf-token', (req, res) => {
9
  res.json({ csrfToken: req.csrfToken() });
10
});
11

12
// 验证 CSRF Token
13
app.post('/api/posts', (req, res) => {
14
  res.json({ message: 'CSRF 验证通过' });
15
});

前端使用 CSRF Token#

1
// 获取 CSRF Token
2
fetch('/api/csrf-token')
3
  .then(res => res.json())
4
  .then(data => {
5
    const csrfToken = data.csrfToken;
6

7
    // 在请求头中发送 CSRF Token
8
    fetch('/api/posts', {
9
      method: 'POST',
10
      headers: {
11
        'Content-Type': 'application/json',
12
        'X-CSRF-Token': csrfToken
13
      },
14
      body: JSON.stringify({ title: '新文章' })
15
    });
16
  });

12.5 速率限制#

使用 express-rate-limit#

1
npm install express-rate-limit

1
const rateLimit = require('express-rate-limit');
2

3
// 基本速率限制
4
const limiter = rateLimit({
5
  windowMs: 15 * 60 * 1000,  // 15 分钟
6
  max: 100  // 最多 100 次请求
7
});
8

9
app.use('/api/', limiter);
10

11
// 登录接口更严格的限制
12
const loginLimiter = rateLimit({
13
  windowMs: 15 * 60 * 1000,  // 15 分钟
14
  max: 5,  // 最多 5 次尝试
15
  message: '登录尝试次数过多，请稍后再试'
16
});
17

18
app.post('/api/login', loginLimiter, (req, res) => {
19
  // 登录逻辑
20
});

IP 黑名单#

1
const ipBlacklist = ['192.168.1.100', '10.0.0.1'];
2

3
app.use((req, res, next) => {
4
  const clientIp = req.ip;
5
  if (ipBlacklist.includes(clientIp)) {
6
    return res.status(403).json({ error: 'IP 被封禁' });
7
  }
8
  next();
9
});

12.6 安全头设置#

使用 helmet 设置安全头#

1
app.use(helmet());
2

3
// 自定义安全头
4
app.use(helmet({
5
  frameguard: {
6
    action: 'deny'  // 防止点击劫持
7
  },
8
  hsts: {
9
    maxAge: 31536000,  // 1 年
10
    includeSubDomains: true,
11
    preload: true
12
  },
13
  noSniff: true,  // 防止 MIME 类型嗅探
14
  xssFilter: true  // 启用 XSS 过滤器
15
}));

自定义安全头#

1
app.use((req, res, next) => {
2
  // X-Content-Type-Options
3
  res.set('X-Content-Type-Options', 'nosniff');
4

5
  // X-Frame-Options
6
  res.set('X-Frame-Options', 'DENY');
7

8
  // X-XSS-Protection
9
  res.set('X-XSS-Protection', '1; mode=block');
10

11
  // Strict-Transport-Security (HTTPS)
12
  if (process.env.NODE_ENV === 'production') {
13
    res.set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
14
  }
15

16
  next();
17
});

12.7 敏感数据保护#

🚨 敏感信息泄露是严重的安全漏洞：永远不要在代码中硬编码数据库密码、API 密钥、JWT 密钥等敏感信息！这些信息一旦泄露，攻击者就可以完全控制你的应用。务必使用环境变量或密钥管理服务来存储敏感信息。

使用环境变量#

1
npm install dotenv

创建 .env 文件（不提交到 Git）：

1
DB_URI=mongodb://localhost:27017/myapp
2
JWT_SECRET=your-secret-key
3
API_KEY=your-api-key

在应用中使用：

1
require('dotenv').config();
2

3
const DB_URI = process.env.DB_URI;
4
const JWT_SECRET = process.env.JWT_SECRET;
5

6
// 不要在代码中硬编码敏感信息
7
console.log(DB_URI);  // ✅ 从环境变量读取
8
// console.log('mongodb://localhost:27017/myapp');  // ❌ 不好的做法

密码加密#

1
npm install bcrypt

1
const bcrypt = require('bcrypt');
2

3
// 注册时加密密码
4
app.post('/api/register', async (req, res) => {
5
  const { username, password } = req.body;
6

7
  // 加密密码
8
  const hashedPassword = await bcrypt.hash(password, 10);
9

10
  const user = await User.create({
11
    username,
12
    password: hashedPassword
13
  });
14

15
  res.json({ message: '注册成功' });
16
});
17

18
// 登录时验证密码
19
app.post('/api/login', async (req, res) => {
20
  const { username, password } = req.body;
21

22
  const user = await User.findOne({ username });
23
  if (!user) {
24
    return res.status(401).json({ error: '用户名或密码错误' });
25
  }
26

27
  // 验证密码
28
  const isValid = await bcrypt.compare(password, user.password);
29
  if (!isValid) {
30
    return res.status(401).json({ error: '用户名或密码错误' });
31
  }
32

33
  res.json({ message: '登录成功' });
34
});

使用 JWT 认证#

1
npm install jsonwebtoken

1
const jwt = require('jsonwebtoken');
2

3
// 生成 JWT Token
4
app.post('/api/login', async (req, res) => {
5
  const { username, password } = req.body;
6

7
  // 验证用户...
8

9
  // 生成 Token
10
  const token = jwt.sign(
11
    { userId: user._id, username: user.username },
12
    process.env.JWT_SECRET,
13
    { expiresIn: '1h' }
14
  );
15

16
  res.json({ token });
17
});
18

19
// 验证 JWT Token 中间件
20
const authenticateToken = (req, res, next) => {
21
  const authHeader = req.headers['authorization'];
22
  const token = authHeader && authHeader.split(' ')[1];
23

24
  if (!token) {
25
    return res.status(401).json({ error: '未提供认证令牌' });
26
  }
27

28
  jwt.verify(token, process.env.JWT_SECRET, (err, user) => {
29
    if (err) {
30
      return res.status(403).json({ error: '无效的认证令牌' });
31
    }
32
    req.user = user;
33
    next();
34
  });
35
};
36

37
// 使用认证中间件
38
app.get('/api/profile', authenticateToken, (req, res) => {
39
  res.json({ user: req.user });
40
});

Session 管理#

1
npm install express-session

1
const session = require('express-session');
2

3
// 配置 Session 中间件
4
app.use(session({
5
  secret: process.env.SESSION_SECRET || 'your-secret-key',
6
  resave: false,
7
  saveUninitialized: false,
8
  cookie: {
9
    secure: process.env.NODE_ENV === 'production',  // 生产环境使用 HTTPS
10
    httpOnly: true,  // 防止 XSS 攻击
11
    maxAge: 24 * 60 * 60 * 1000  // 24 小时
12
  },
13
  store: new (require('connect-mongo')(session))({
14
    url: process.env.DB_URI,
15
    ttl: 24 * 60 * 60  // Session 过期时间（秒）
16
  })
17
}));
18

19
// 设置 Session
20
app.post('/api/login', (req, res) => {
21
  const { username, password } = req.body;
22

23
  // 验证用户...
24

25
  req.session.userId = user._id;
26
  req.session.username = user.username;
27

28
  res.json({ message: '登录成功' });
29
});
30

31
// 检查 Session
32
app.get('/api/profile', (req, res) => {
33
  if (!req.session.userId) {
34
    return res.status(401).json({ error: '未登录' });
35
  }
36
  res.json({ userId: req.session.userId, username: req.session.username });
37
});
38

39
// 销毁 Session
40
app.post('/api/logout', (req, res) => {
41
  req.session.destroy((err) => {
42
    if (err) {
43
      return res.status(500).json({ error: '登出失败' });
44
    }
45
    res.json({ message: '登出成功' });
46
  });
47
});

OAuth 2.0 集成#

1
npm install passport passport-google-oauth20

1
const passport = require('passport');
2
const GoogleStrategy = require('passport-google-oauth20').Strategy;
3

4
// 配置 Google OAuth 2.0
5
passport.use(new GoogleStrategy({
6
  clientID: process.env.GOOGLE_CLIENT_ID,
7
  clientSecret: process.env.GOOGLE_CLIENT_SECRET,
8
  callbackURL: '/auth/google/callback'
9
}, async (accessToken, refreshToken, profile, done) => {
10
  // 查找或创建用户
11
  let user = await User.findOne({ googleId: profile.id });
12

13
  if (!user) {
14
    user = await User.create({
15
      googleId: profile.id,
16
      name: profile.displayName,
17
      email: profile.emails[0].value
18
    });
19
  }
20

21
  return done(null, user);
22
}));
23

24
// 序列化和反序列化用户
25
passport.serializeUser((user, done) => done(null, user._id));
26
passport.deserializeUser(async (id, done) => {
27
  const user = await User.findById(id);
28
  done(null, user);
29
});
30

31
// Google 登录路由
32
app.get('/auth/google', passport.authenticate('google', { scope: ['profile', 'email'] }));
33

34
app.get('/auth/google/callback',
35
  passport.authenticate('google', { failureRedirect: '/login' }),
36
  (req, res) => {
37
    // 登录成功，重定向到首页
38
    res.redirect('/');
39
  }
40
);
41

42
// 检查认证状态
43
app.get('/api/auth/status', (req, res) => {
44
  if (req.isAuthenticated()) {
45
    res.json({ authenticated: true, user: req.user });
46
  } else {
47
    res.json({ authenticated: false });
48
  }
49
});

权限控制#

1
// 角色枚举
2
const Role = {
3
  ADMIN: 'admin',
4
  USER: 'user',
5
  GUEST: 'guest'
6
};
7

8
// 权限检查中间件
9
const checkRole = (...allowedRoles) => {
10
  return (req, res, next) => {
11
    if (!req.user) {
12
      return res.status(401).json({ error: '未登录' });
13
    }
14

15
    if (!allowedRoles.includes(req.user.role)) {
16
      return res.status(403).json({ error: '权限不足' });
17
    }
18

19
    next();
20
  };
21
};
22

23
// 资源所有权检查
24
const checkOwnership = (Model) => {
25
  return async (req, res, next) => {
26
    try {
27
      const resource = await Model.findById(req.params.id);
28

29
      if (!resource) {
30
        return res.status(404).json({ error: '资源不存在' });
31
      }
32

33
      // 管理员可以访问所有资源
34
      if (req.user.role === Role.ADMIN) {
35
        return next();
36
      }
37

38
      // 检查是否是资源所有者
39
      if (resource.userId.toString() !== req.user.userId) {
40
        return res.status(403).json({ error: '无权访问此资源' });
41
      }
42

43
      req.resource = resource;
44
      next();
45
    } catch (error) {
46
      res.status(500).json({ error: error.message });
47
    }
48
  };
49
};
50

51
// 使用权限中间件
52
app.get('/api/admin/users', authenticateToken, checkRole(Role.ADMIN), async (req, res) => {
53
  const users = await User.find();
54
  res.json(users);
55
});
56

57
// 更新自己的文章
58
app.put('/api/posts/:id', authenticateToken, checkOwnership(Post), async (req, res) => {
59
  const post = req.resource;
60
  Object.assign(post, req.body);
61
  await post.save();
62
  res.json(post);
63
});

12.8 安全检查清单#

在部署应用之前，请检查以下安全措施：

基础安全#

认证和授权#

密码加密存储（bcrypt）
使用 JWT 或 Session 认证
实现 CSRF 防护
设置合理的会话过期时间

数据安全#

使用参数化查询防止 SQL 注入
转义用户输入防止 XSS
验证和清理用户输入
使用 HTTPS 传输敏感数据

日志和监控#

记录安全事件
监控异常请求
定期审计日志
设置安全告警

定期维护#

定期更新依赖包
定期备份数据
定期进行安全审计
制定应急响应计划

第二十三步：实时通信#

实时通信是现代 Web 应用的重要特性，让服务器能够主动向客户端推送数据，实现即时更新和双向通信。

23.1 WebSocket 基础#

WebSocket 是一种在单个 TCP 连接上进行全双工通信的协议，它允许服务器和客户端之间进行实时数据交换。

WebSocket vs HTTP#

特性	HTTP	WebSocket
通信模式	请求-响应	双向通信
连接	每次请求新建连接	持久连接
延迟	较高	极低
服务器推送	不支持	原生支持
开销	较大	较小

使用原生 WebSocket#

1
const WebSocket = require('ws');
2

3
// 创建 WebSocket 服务器
4
const wss = new WebSocket.Server({ port: 8080 });
5

6
wss.on('connection', (ws) => {
7
  console.log('客户端已连接');
8

9
  // 向客户端发送消息
10
  ws.send('欢迎连接到 WebSocket 服务器！');
11

12
  // 接收客户端消息
13
  ws.on('message', (message) => {
14
    console.log('收到消息:', message.toString());
15

16
    // 广播消息给所有客户端
17
    wss.clients.forEach((client) => {
18
      if (client !== ws && client.readyState === WebSocket.OPEN) {
19
        client.send(message);
20
      }
21
    });
22
  });
23

24
  // 客户端断开连接
25
  ws.on('close', () => {
26
    console.log('客户端已断开连接');
27
  });
28

29
  // 处理错误
30
  ws.on('error', (error) => {
31
    console.error('WebSocket 错误:', error);
32
  });
33
});
34

35
console.log('WebSocket 服务器运行在 ws://localhost:8080');

23.2 Socket.io#

NOTE
📝 为什么选择 Socket.io？：虽然可以使用原生 WebSocket，但 Socket.io 提供了以下优势：

✅ 自动降级：在不支持 WebSocket 的浏览器中自动降级到长轮询

✅ 房间功能：轻松实现分组通信

✅ 自动重连：连接断开时自动重连

✅ 心跳检测：自动检测连接状态

✅ 更简单的 API：比原生 WebSocket 更易用

Socket.io 是一个基于 WebSocket 的库，提供了更简单易用的 API 和自动降级功能。

安装 Socket.io#

1
npm install socket.io

服务器端实现#

1
const express = require('express');
2
const http = require('http');
3
const socketIo = require('socket.io');
4

5
const app = express();
6
const server = http.createServer(app);
7
const io = socketIo(server);
8

9
// Socket.io 连接处理
10
io.on('connection', (socket) => {
11
  console.log('用户已连接:', socket.id);
12

13
  // 加入房间
14
  socket.on('join', (room) => {
15
    socket.join(room);
16
    socket.to(room).emit('message', `用户 ${socket.id} 加入了房间 ${room}`);
17
  });
18

19
  // 接收消息
20
  socket.on('message', (data) => {
21
    console.log('收到消息:', data);
22

23
    // 广播消息给所有客户端
24
    io.emit('message', {
25
      id: socket.id,
26
      text: data.text,
27
      timestamp: new Date()
28
    });
29
  });
30

31
  // 私聊
32
  socket.on('private', (data) => {
33
    const { targetId, message } = data;
34
    io.to(targetId).emit('private', {
35
      from: socket.id,
36
      message
37
    });
38
  });
39

40
  // 断开连接
41
  socket.on('disconnect', () => {
42
    console.log('用户已断开连接:', socket.id);
43
    io.emit('message', `用户 ${socket.id} 已离开`);
44
  });
45
});
46

47
server.listen(3000, () => {
48
  console.log('服务器运行在 http://localhost:3000');
49
});

客户端实现#

1
<!DOCTYPE html>
2
<html>
3
<head>
4
  <title>Socket.io 聊天室</title>
5
</head>
6
<body>
7
  <div id="messages"></div>
8
  <input type="text" id="messageInput" placeholder="输入消息...">
9
  <button onclick="sendMessage()">发送</button>
10

11
  <script src="/socket.io/socket.io.js"></script>
12
  <script>
13
    const socket = io();
14

15
    // 接收消息
16
    socket.on('message', (data) => {
17
      const messagesDiv = document.getElementById('messages');
18
      const messageElement = document.createElement('div');
19
      messageElement.textContent = data.text || data;
20
      messagesDiv.appendChild(messageElement);
21
    });
22

23
    // 发送消息
24
    function sendMessage() {
25
      const input = document.getElementById('messageInput');
26
      const message = input.value;
27
      if (message) {
28
        socket.emit('message', { text: message });
29
        input.value = '';
30
      }
31
    }
32

33
    // 加入房间
34
    socket.emit('join', 'chat-room');
35
  </script>
36
</body>
37
</html>

23.3 实时聊天应用#

完整的聊天应用示例#

1
const express = require('express');
2
const http = require('http');
3
const socketIo = require('socket.io');
4
const mongoose = require('mongoose');
5

6
const app = express();
7
const server = http.createServer(app);
8
const io = socketIo(server);
9

10
// 连接数据库
11
mongoose.connect('mongodb://localhost:27017/chat-app');
12

13
// 消息模型
14
const Message = mongoose.model('Message', {
15
  username: String,
16
  text: String,
17
  room: String,
18
  timestamp: { type: Date, default: Date.now }
19
});
20

21
// 获取历史消息
22
app.get('/api/messages/:room', async (req, res) => {
23
  const messages = await Message.find({ room: req.params.room })
24
    .sort({ timestamp: -1 })
25
    .limit(50);
26
  res.json(messages.reverse());
27
});
28

29
// Socket.io 连接
30
io.on('connection', (socket) => {
31
  console.log('用户已连接:', socket.id);
32

33
  // 用户加入
34
  socket.on('join', ({ username, room }) => {
35
    socket.join(room);
36
    socket.username = username;
37
    socket.room = room;
38

39
    // 通知其他用户
40
    socket.to(room).emit('notification', {
41
      message: `${username} 加入了聊天室`,
42
      type: 'join'
43
    });
44
  });
45

46
  // 发送消息
47
  socket.on('sendMessage', async (message) => {
48
    const newMessage = new Message({
49
      username: socket.username,
50
      text: message,
51
      room: socket.room
52
    });
53

54
    await newMessage.save();
55

56
    // 广播消息到房间
57
    io.to(socket.room).emit('message', {
58
      username: socket.username,
59
      text: message,
60
      timestamp: newMessage.timestamp
61
    });
62
  });
63

64
  // 用户离开
65
  socket.on('disconnect', () => {
66
    if (socket.username && socket.room) {
67
      socket.to(socket.room).emit('notification', {
68
        message: `${socket.username} 离开了聊天室`,
69
        type: 'leave'
70
      });
71
    }
72
  });
73
});
74

75
server.listen(3000, () => {
76
  console.log('聊天应用运行在 http://localhost:3000');
77
});

第二十四步：GraphQL 入门#

NOTE
📝 GraphQL vs REST：GraphQL 和 REST 各有优劣：

REST：简单、成熟、缓存友好，适合大多数场景

GraphQL：灵活、高效、减少请求次数，适合复杂的前端需求

建议：如果你是初学者，建议先掌握 RESTful API。在遇到 REST 难以解决的问题时，再考虑使用 GraphQL。

GraphQL 是一种用于 API 的查询语言，它提供了更灵活、高效的数据获取方式。

24.1 GraphQL 基础#

GraphQL vs REST#

特性	REST	GraphQL
数据获取	多个端点	单个端点
过度获取	常见	避免
不足获取	需要多次请求	一次请求
类型系统	无	强类型
自描述	需要 OpenAPI	内置

GraphQL 基本概念#

1
# 查询（Query）
2
query {
3
  user(id: "1") {
4
    name
5
    email
6
    posts {
7
      title
8
      content
9
    }
10
  }
11
}
12

13
# 变更（Mutation）
14
mutation {
15
  createPost(input: { title: "新文章", content: "内容" }) {
16
    id
17
    title
18
    author {
19
      name
20
    }
21
  }
22
}
23

24
# 订阅（Subscription）
25
subscription {
26
  messageAdded {
27
    id
28
    text
29
    author {
30
      name
31
    }
32
  }
33
}

24.2 Apollo Server#

安装 Apollo Server#

1
npm install @apollo/server graphql

创建 Apollo Server#

1
const { ApolloServer, gql } = require('@apollo/server');
2
const { startStandaloneServer } = require('@apollo/server/standalone');
3

4
// 定义 GraphQL Schema
5
const typeDefs = gql`
6
  type User {
7
    id: ID!
8
    name: String!
9
    email: String!
10
    posts: [Post!]!
11
  }
12

13
  type Post {
14
    id: ID!
15
    title: String!
16
    content: String!
17
    author: User!
18
  }
19

20
  type Query {
21
    user(id: ID!): User
22
    users: [User!]!
23
    post(id: ID!): Post
24
    posts: [Post!]!
25
  }
26

27
  type Mutation {
28
    createUser(name: String!, email: String!): User!
29
    createPost(title: String!, content: String!, authorId: ID!): Post!
30
  }
31
`;
32

33
// 模拟数据
34
const users = [
35
  { id: '1', name: '张三', email: 'zhangsan@example.com' },
36
  { id: '2', name: '李四', email: 'lisi@example.com' }
37
];
38

39
const posts = [
40
  { id: '1', title: '第一篇文章', content: '内容...', authorId: '1' },
41
  { id: '2', title: '第二篇文章', content: '内容...', authorId: '2' }
42
];
43

44
// 定义 Resolvers
45
const resolvers = {
46
  Query: {
47
    user: (_, { id }) => users.find(user => user.id === id),
48
    users: () => users,
49
    post: (_, { id }) => posts.find(post => post.id === id),
50
    posts: () => posts
51
  },
52

53
  Mutation: {
54
    createUser: (_, { name, email }) => {
55
      const newUser = {
56
        id: String(users.length + 1),
57
        name,
58
        email
59
      };
60
      users.push(newUser);
61
      return newUser;
62
    },
63

64
    createPost: (_, { title, content, authorId }) => {
65
      const newPost = {
66
        id: String(posts.length + 1),
67
        title,
68
        content,
69
        authorId
70
      };
71
      posts.push(newPost);
72
      return newPost;
73
    }
74
  },
75

76
  User: {
77
    posts: (user) => posts.filter(post => post.authorId === user.id)
78
  },
79

80
  Post: {
81
    author: (post) => users.find(user => user.id === post.authorId)
82
  }
83
};
84

85
// 创建 Apollo Server
86
const server = new ApolloServer({
87
  typeDefs,
88
  resolvers
89
});
90

91
// 启动服务器
92
startStandaloneServer(server, {
93
  listen: { port: 4000 }
94
}).then(({ url }) => {
95
  console.log(`🚀 Server ready at ${url}`);
96
});

24.3 与 Express 集成#

安装依赖#

1
npm install @apollo/server express body-parser

集成 Apollo Server 到 Express#

1
const express = require('express');
2
const { ApolloServer } = require('@apollo/server');
3
const { expressMiddleware } = require('@apollo/server/express4');
4
const bodyParser = require('body-parser');
5

6
const app = express();
7

8
// GraphQL Schema 和 Resolvers
9
const typeDefs = gql`
10
  type Query {
11
    hello: String!
12
  }
13
`;
14

15
const resolvers = {
16
  Query: {
17
    hello: () => 'Hello, World!'
18
  }
19
};
20

21
// 创建 Apollo Server
22
const server = new ApolloServer({
23
  typeDefs,
24
  resolvers
25
});
26

27
// 启动 Apollo Server
28
await server.start();
29

30
// 集成到 Express
31
app.use('/graphql', bodyParser.json(), expressMiddleware(server));
32

33
// 添加 REST API
34
app.get('/api/hello', (req, res) => {
35
  res.json({ message: 'Hello from REST API!' });
36
});
37

38
app.listen(3000, () => {
39
  console.log('服务器运行在 http://localhost:3000');
40
  console.log('GraphQL Playground: http://localhost:3000/graphql');
41
});

使用数据库#

1
const mongoose = require('mongoose');
2
const { ApolloServer, gql } = require('@apollo/server');
3

4
// 连接数据库
5
mongoose.connect('mongodb://localhost:27017/myapp');
6

7
// 定义 Mongoose 模型
8
const User = mongoose.model('User', {
9
  name: String,
10
  email: String
11
});
12

13
const Post = mongoose.model('Post', {
14
  title: String,
15
  content: String,
16
  author: { type: mongoose.Schema.Types.ObjectId, ref: 'User' }
17
});
18

19
// GraphQL Schema
20
const typeDefs = gql`
21
  type User {
22
    id: ID!
23
    name: String!
24
    email: String!
25
    posts: [Post!]!
26
  }
27

28
  type Post {
29
    id: ID!
30
    title: String!
31
    content: String!
32
    author: User!
33
  }
34

35
  type Query {
36
    users: [User!]!
37
    posts: [Post!]!
38
  }
39

40
  type Mutation {
41
    createUser(name: String!, email: String!): User!
42
    createPost(title: String!, content: String!, authorId: ID!): Post!
43
  }
44
`;
45

46
// Resolvers
47
const resolvers = {
48
  Query: {
49
    users: async () => await User.find(),
50
    posts: async () => await Post.find().populate('author')
51
  },
52

53
  Mutation: {
54
    createUser: async (_, { name, email }) => {
55
      const user = new User({ name, email });
56
      await user.save();
57
      return user;
58
    },
59

60
    createPost: async (_, { title, content, authorId }) => {
61
      const post = new Post({ title, content, author: authorId });
62
      await post.save();
63
      return post.populate('author');
64
    }
65
  },
66

67
  User: {
68
    posts: async (user) => await Post.find({ author: user._id })
69
  }
70
};
71

72
// 创建 Apollo Server
73
const server = new ApolloServer({ typeDefs, resolvers });

第二十五步：微服务架构#

WARNING
⚠️ 微服务不是银弹：微服务架构虽然有很多优点，但也带来了额外的复杂度：

📡 服务间通信：需要处理网络延迟、故障等问题

🔧 运维复杂度：需要部署和管理多个服务

📊 分布式追踪：调试和监控变得更加困难

💾 数据一致性：需要处理分布式事务

建议：对于小型应用，单体架构更合适。只有当应用变得复杂、团队规模扩大时，才考虑微服务架构。

微服务架构是一种将应用拆分为多个小型、独立服务的设计模式，每个服务专注于特定的业务功能。

25.1 微服务概念#

微服务 vs 单体应用#

特性	单体应用	微服务
部署	整体部署	独立部署
扩展	整体扩展	按需扩展
技术栈	统一	多样化
故障隔离	影响整体	隔离故障
复杂度	较低	较高

微服务架构图#

graph TD A[客户端] --> B[API 网关] B --> C[用户服务 端口: 3001] B --> D[文章服务 端口: 3002] B --> E[评论服务 端口: 3003] B --> F[通知服务 端口: 3004] C --> G[用户数据库 MongoDB] D --> H[文章数据库 MongoDB] E --> I[评论数据库 MongoDB] F --> J[消息队列 Redis] C -.->|服务间通信| D D -.->|服务间通信| E E -.->|服务间通信| F style A fill:#e1f5ff style B fill:#fff4e1 style C fill:#e8f5e9 style D fill:#e8f5e9 style E fill:#e8f5e9 style F fill:#e8f5e9 style G fill:#fce4ec style H fill:#fce4ec style I fill:#fce4ec style J fill:#ffccbc

25.2 服务间通信#

HTTP 通信#

1
// 服务 A 调用服务 B
2
const axios = require('axios');
3

4
class UserService {
5
  async getUserPosts(userId) {
6
    try {
7
      const response = await axios.get(`http://localhost:3002/api/posts/${userId}`);
8
      return response.data;
9
    } catch (error) {
10
      console.error('调用文章服务失败:', error.message);
11
      throw error;
12
    }
13
  }
14
}
15

16
module.exports = new UserService();

使用服务发现#

1
npm install consul

1
const Consul = require('consul');
2

3
const consul = new Consul();
4

5
// 注册服务
6
async function registerService() {
7
  await consul.agent.service.register({
8
    name: 'user-service',
9
    port: 3001,
10
    check: {
11
      http: 'http://localhost:3001/health',
12
      interval: '10s'
13
    }
14
  });
15
  console.log('服务已注册到 Consul');
16
}
17

18
// 发现服务
19
async function discoverService(serviceName) {
20
  const services = await consul.agent.service.list();
21
  const service = services[serviceName];
22

23
  if (!service) {
24
    throw new Error(`服务 ${serviceName} 未找到`);
25
  }
26

27
  return service;
28
}
29

30
// 调用服务
31
async function callService(serviceName, endpoint) {
32
  const service = await discoverService(serviceName);
33
  const url = `http://${service.Address}:${service.Port}${endpoint}`;
34
  const response = await axios.get(url);
35
  return response.data;
36
}

25.3 API 网关#

使用 Express 作为 API 网关#

1
const express = require('express');
2
const httpProxy = require('http-proxy-middleware');
3
const axios = require('axios');
4

5
const app = express();
6

7
// 服务配置
8
const services = {
9
  users: 'http://localhost:3001',
10
  posts: 'http://localhost:3002',
11
  comments: 'http://localhost:3003'
12
};
13

14
// 代理中间件
15
const createProxy = (target) => {
16
  return httpProxy.createProxyMiddleware({
17
    target,
18
    changeOrigin: true,
19
    pathRewrite: {
20
      [`^/api/${target.split(':')[2].replace('//', '')}`]: ''
21
    }
22
  });
23
};
24

25
// 路由到用户服务
26
app.use('/api/users', createProxy(services.users));
27

28
// 路由到文章服务
29
app.use('/api/posts', createProxy(services.posts));
30

31
// 路由到评论服务
32
app.use('/api/comments', createProxy(services.comments));
33

34
// 聚合接口
35
app.get('/api/dashboard/:userId', async (req, res) => {
36
  try {
37
    const { userId } = req.params;
38

39
    // 并行调用多个服务
40
    const [user, posts, comments] = await Promise.all([
41
      axios.get(`${services.users}/api/users/${userId}`),
42
      axios.get(`${services.posts}/api/posts?userId=${userId}`),
43
      axios.get(`${services.comments}/api/comments?userId=${userId}`)
44
    ]);
45

46
    res.json({
47
      user: user.data,
48
      posts: posts.data,
49
      comments: comments.data
50
    });
51
  } catch (error) {
52
    res.status(500).json({ error: error.message });
53
  }
54
});
55

56
// 健康检查
57
app.get('/health', (req, res) => {
58
  res.json({ status: 'ok', timestamp: new Date() });
59
});
60

61
app.listen(3000, () => {
62
  console.log('API 网关运行在 http://localhost:3000');
63
});

使用 Nginx 作为 API 网关#

1
upstream user_service {
2
    server localhost:3001;
3
}
4

5
upstream post_service {
6
    server localhost:3002;
7
}
8

9
upstream comment_service {
10
    server localhost:3003;
11
}
12

13
server {
14
    listen 80;
15
    server_name api.example.com;
16

17
    # 用户服务
18
    location /api/users {
19
        proxy_pass http://user_service;
20
        proxy_set_header Host $host;
21
        proxy_set_header X-Real-IP $remote_addr;
22
    }
23

24
    # 文章服务
25
    location /api/posts {
26
        proxy_pass http://post_service;
27
        proxy_set_header Host $host;
28
        proxy_set_header X-Real-IP $remote_addr;
29
    }
30

31
    # 评论服务
32
    location /api/comments {
33
        proxy_pass http://comment_service;
34
        proxy_set_header Host $host;
35
        proxy_set_header X-Real-IP $remote_addr;
36
    }
37
}

完成本指南的学习后，您可以：

🎯 实践项目#

完成教程中的实战练习，巩固所学知识
尝试开发自己的第一个 Express.js 应用
开发一个完整的博客系统，包含用户认证、文章管理、评论功能
开发一个实时聊天应用，使用 WebSocket 或 Socket.io
开发一个电商平台，包含商品管理、购物车、订单系统

📚 深入学习#

继续深入学习 Express.js 的高级特性
学习数据库集成（MongoDB、MySQL、PostgreSQL）
学习用户认证和授权（JWT、Session、OAuth 2.0）
学习 WebSocket 实时通信
学习 GraphQL，构建灵活的 API
学习微服务架构，构建可扩展的应用

🔧 工具和框架#

学习测试（单元测试、集成测试、E2E 测试）
学习 CI/CD（GitHub Actions、GitLab CI、Jenkins）
学习容器化（Docker、Kubernetes）
学习云服务（AWS、Azure、Google Cloud）
学习监控和日志（Prometheus、Grafana、ELK Stack）

🌐 进阶主题#

性能优化：缓存策略、负载均衡、CDN
安全最佳实践：HTTPS、安全头、漏洞扫描
API 设计：RESTful API、GraphQL、gRPC
实时应用：WebSocket、Server-Sent Events、WebRTC
微服务：服务发现、API 网关、分布式追踪

📖 推荐学习路径#

graph TD A[Express.js 基础 当前阶段] --> B[进阶主题] A --> C[实战项目] B --> B1[实时通信 WebSocket/Socket.io] B --> B2[GraphQL Apollo Server] B --> B3[微服务架构 服务拆分] C --> C1[博客系统] C --> C2[聊天应用] C --> C3[电商平台] C --> C4[社交应用] B1 --> D[高级主题] B2 --> D B3 --> D C1 --> D C2 --> D C3 --> D C4 --> D D --> D1[性能优化] D --> D2[安全加固] D --> D3[CI/CD] D --> D4[云部署] style A fill:#e1f5ff style B fill:#fff4e1 style C fill:#e8f5e9 style D fill:#fce4ec style D1 fill:#c8e6c9 style D2 fill:#c8e6c9 style D3 fill:#c8e6c9 style D4 fill:#c8e6c9

🎓 学习资源#

官方资源#

在线课程#

Udemy: Node.js - The Complete Guide
Coursera: Server-side Development with Node.js
Pluralsight: Building Web Apps with Node.js and Express
Egghead.io: GraphQL Fundamentals

社区资源#

💡 学习建议#

循序渐进：不要急于求成，按照文档的顺序学习
多动手实践：理论知识要结合实际项目
阅读源码：学习优秀开源项目的代码
参与社区：加入技术社区，与其他开发者交流
持续学习：技术更新快，保持学习的热情

🚀 职业发展#

掌握 Express.js 后，您可以：

成为全栈开发工程师
成为后端开发工程师
成为 API 开发专家
成为系统架构师
创业开发自己的产品

📚 附录：完整知识体系#

Express.js 知识图谱#

1
Express.js
2
├── 基础
3
│   ├── 安装和配置
4
│   ├── 路由
5
│   ├── 中间件
6
│   ├── 请求处理
7
│   └── 响应处理
8
├── 进阶
9
│   ├── 错误处理
10
│   ├── 模板引擎
11
│   ├── 静态文件
12
│   ├── RESTful API
13
│   └── 调试技巧
14
├── 数据库
15
│   ├── MongoDB
16
│   ├── MySQL
17
│   ├── PostgreSQL
18
│   └── Redis
19
├── 认证授权
20
│   ├── JWT
21
│   ├── Session
22
│   ├── OAuth 2.0
23
│   └── 权限控制
24
├── 性能优化
25
│   ├── 缓存策略
26
│   ├── 数据库优化
27
│   ├── 并发处理
28
│   └── 监控告警
29
├── 安全实践
30
│   ├── SQL 注入防护
31
│   ├── XSS 防护
32
│   ├── CSRF 防护
33
│   └── 速率限制
34
├── 实时通信
35
│   ├── WebSocket
36
│   └── Socket.io
37
├── GraphQL
38
│   ├── Schema 定义
39
│   ├── Resolvers
40
│   └── Apollo Server
41
├── 微服务
42
│   ├── 服务拆分
43
│   ├── 服务通信
44
│   └── API 网关
45
└── 部署运维
46
    ├── Docker
47
    ├── CI/CD
48
    ├── 监控
49
    └── 日志

技能树#

1
初级（1-3 个月）
2
├── Express.js 基础
3
├── RESTful API
4
├── MongoDB/MySQL
5
└── 基础认证
6

7
中级（3-6 个月）
8
├── 性能优化
9
├── 安全实践
10
├── WebSocket
11
├── 测试
12
└── Docker
13

14
高级（6-12 个月）
15
├── GraphQL
16
├── 微服务
17
├── TypeScript
18
├── CI/CD
19
└── 系统架构
20

21
专家（1 年以上）
22
├── 分布式系统
23
├── 高并发处理
24
├── 云原生
25
└── 技术领导

祝您学习愉快！🎉

如果您在学习过程中遇到问题，欢迎查阅官方文档、搜索技术社区或参与开源项目。记住，编程是一个持续学习的过程，保持好奇心和学习的热情，您一定能成为一名优秀的 Express.js 开发者！

最后更新：2026-01-15

祝您学习愉快！🎉

Lovely firefly!

Express.js 零基础入门指南

Express.js 零基础入门指南#

🗺️ 学习路径图#

目录#

第一步：了解什么是 Express.js#

Express.js 的特点#

Express.js vs 原生 Node.js#

第二步：前置知识准备#

必备知识#

推荐学习资源#

第三步：5分钟快速入门#

🚀 快速开始（3步搞定）#

第 1 步：创建项目（1分钟）#

第 2 步：创建服务器（2分钟）#

第 3 步：运行应用（1分钟）#

💡 现在发生了什么？#

🎯 试试修改代码#

🎉 常见问题#

🚀 下一步#

第四步：创建第一个 Express 应用（详细版）#

4.1 初始化项目#

4.2 创建基本的服务器#

4.3 运行应用#

第五步：路由基础#

5.1 基本路由#

5.2 路由参数#

5.3 查询参数#

5.4 路由模块化#

第六步：中间件#

🗺️ 中间件执行流程#

💡 什么是中间件？（通俗解释）#

🏭 生活比喻：流水线#

🧽 另一个比喻：过滤网#

🎯 中间件的核心特点#

📝 生活中的例子#

6.1 应用级中间件#

6.2 内置中间件#

6.3 错误处理中间件#

6.4 第三方中间件#

第七步：静态文件服务#

7.1 基本用法#

7.2 多个静态目录#

7.3 虚拟路径#

第八步：请求处理#

🗺️ 请求-响应生命周期#

8.1 获取请求数据#

8.2 文件上传#

第九步：响应处理#

9.1 发送响应#

9.2 设置响应头#

第十步：模板引擎#

10.1 使用 EJS#

10.2 使用 Pug#

第十一步：错误处理#

11.1 同步错误处理#

11.2 异步错误处理#

11.3 自定义错误处理#

第十二步：调试技巧#

💡 为什么需要调试？#

🗺️ 调试流程#

12.1 使用 console.log 调试#

💡 console.log 的最佳实践#

12.2 使用 VS Code 调试#

📝 配置 launch.json#

🎯 使用断点调试#

📊 调试面板功能#

12.3 使用调试中间件#

morgan（HTTP 请求日志）#

debug（调试信息）#

12.4 常见错误及解决方法#

错误 1：端口被占用#

错误 2：路由不匹配#

错误 3：请求体解析失败#

错误 4：CORS 跨域问题#

错误 5：异步错误未捕获#

错误 6：数据库连接失败#

错误 7：内存泄漏#

12.5 性能分析#

使用 Node.js 性能分析器#