学步园

repoze.what.plugins.quickstart调用流程解析
在使用repoze.what.plugins的时候曾碰到这样的情况:
用户A已经登录，此时用户在用户A没有关闭浏览器的情况下(即session没有失效)再次登录，显示登录成功，但登录的用户还是A而不是B，究其原因，应该是cookie中的用户A的信息没有删除。怎样才能不显式调用logout url(如果调用logout会导致页面跳转)而实现清空上一用户信息的效果？为搞清楚这一问题，就有必要探究一下repoze.what.plugins.quickstart的调用次序。
repoze.what.plugins.quickstart setup_sql_auth调用repoze.what.middleware setup_auth 调用repoze.who.plugins.testutil make_middleware,make_middleware根据是否skip_authentication，决定是调用AuthenticationForgerMiddleware还是repoze.who.middleware的PluggableAuthenticationMiddleware，实际使用中调用的应该是PluggableAuthenticationMiddleware
setup_sql_auth中创建cookie
cookie = AuthTktCookiePlugin(cookie_secret, cookie_name,
                                 timeout=cookie_timeout,
                                 reissue_time=cookie_reissue_time)
然后将cookie保存在who_args['identifiers'].append(('cookie', cookie))中。
who_args从repoze.what.plugins.quickstart setup_sql_auth一直传递到repoze.who.middleware的PluggableAuthenticationMiddleware中。
在PluggableAuthenticationMiddleware中通过
iregistry, nregistry = make_registries(identifiers, authenticators,
                                               challengers, mdproviders)
self.name_registry = nregistry
environ['repoze.who.plugins'] = self.name_registry
等操作将setup_sql_auth中创建cookie保存于environ['repoze.who.plugins']['cookie']中
AuthTktCookiePlugin的定义在repoze.who.plugins.auth_tk中，AuthTktCookiePlugin有一方法定义如下：
# IIdentifier
    def forget(self, environ, identity):
        # return a set of expires Set-Cookie headers
        return self._get_cookies(environ, 'INVALID', 0)
调用该forget方法即可将相关cookie清除，从而达到清除上一用户信息的目的。
在pylons中的调用示例如下：
def change_account(self):
        # Change another account, clear the original cookie
        if request.environ['repoze.who.plugins']['cookie']:
            headers = request.environ['repoze.who.plugins']['cookie'].forget(request.environ, None)
            response.headerlist.extend(headers)
        redirect(url('/account/login'))