开源应用程序架构（卷 1）
Python 包

注册项目和上传发行版

使用 Distutils 的 register 命令将项目注册到 PyPI。它会构建一个包含项目元数据的 POST 请求，无论其版本是什么。该请求需要一个授权标头，因为 PyPI 使用基本身份验证来确保每个注册的项目都与首先在 PyPI 上注册的用户关联。凭据保存在本地 Distutils 配置中，或者在每次调用 register 命令时在提示符中输入。其用法的示例如下

$ python setup.py register
running register
Registering MPTools to http://pypi.python.org/pypi
Server response (200): OK

每个注册的项目都会获得一个网页，其中包含元数据的 HTML 版本，打包人员可以使用 upload 将发行版上传到 PyPI

$ python setup.py sdist upload
running sdist
…
running upload
Submitting dist/mopytools-0.1.tar.gz to http://pypi.python.org/pypi
Server response (200): OK

也可以通过 Download-URL 元数据字段将用户指向另一个位置，而不是直接将文件上传到 PyPI。

查询 PyPI

除了 PyPI 为 Web 用户发布的 HTML 页面之外，它还提供了两种工具可用于浏览内容的服务：简单索引协议和 XML-RPC API。

简单索引协议从 http://pypi.python.org/simple/ 开始，这是一个包含指向每个已注册项目的相对链接的纯 HTML 页面

<html><head><title>Simple Index</title></head><body>
⋮    ⋮    ⋮
<a href='MontyLingua/'>MontyLingua</a><br/>
<a href='mootiro_web/'>mootiro_web</a><br/>
<a href='Mopidy/'>Mopidy</a><br/>
<a href='mopowg/'>mopowg</a><br/>
<a href='MOPPY/'>MOPPY</a><br/>
<a href='MPTools/'>MPTools</a><br/>
<a href='morbid/'>morbid</a><br/>
<a href='Morelia/'>Morelia</a><br/>
<a href='morse/'>morse</a><br/>
⋮    ⋮    ⋮
</body></html>

例如，MPTools 项目有一个 MPTools/ 链接，这意味着该项目存在于索引中。它指向的站点包含与该项目相关的所有链接列表

• 存储在 PyPI 中的每个发行版的链接
• 每个版本注册的项目中定义的每个主页 URL 的链接
• 每个版本定义的每个下载 URL 的链接。

MPTools 页面包含

<html><head><title>Links for MPTools</title></head>
<body><h1>Links for MPTools</h1>
<a href="../../packages/source/M/MPTools/MPTools-0.1.tar.gz">MPTools-0.1.tar.gz</a><br/>
<a href="http://bitbucket.org/tarek/mopytools" rel="homepage">0.1 home_page</a><br/>
</body></html>

想要查找项目发行版的工具（例如安装程序）可以在索引页面中查找它，或者简单地检查 http://pypi.python.org/simple/PROJECT_NAME/ 是否存在。

此协议有两个主要限制。首先，PyPI 目前是一个单一服务器，虽然人们通常拥有其内容的本地副本，但我们在过去两年中经历了多次停机时间，这些停机时间使不断使用浏览 PyPI 以获取构建项目所需的所有依赖项的安装程序的开发人员瘫痪。例如，构建 Plone 应用程序将在 PyPI 上生成数百个查询以获取所有必需的位，因此 PyPI 可能会充当单点故障。

其次，当发行版未存储在 PyPI 上并在简单索引页面中提供下载 URL 链接时，安装程序必须遵循该链接并希望该位置可用并且确实包含该版本。这些间接链接削弱了任何基于简单索引的流程。

简单索引协议的目标是为安装程序提供一个链接列表，他们可以使用这些链接来安装项目。项目元数据不会在其中发布；相反，有 XML-RPC 方法可以获取有关已注册项目的更多信息

>>> import xmlrpclib
>>> import pprint
>>> client = xmlrpclib.ServerProxy('http://pypi.python.org/pypi')
>>> client.package_releases('MPTools')
['0.1']
>>> pprint.pprint(client.release_urls('MPTools', '0.1'))
[{'comment_text': &rquot;,
'downloads': 28,
'filename': 'MPTools-0.1.tar.gz',
'has_sig': False,
'md5_digest': '6b06752d62c4bffe1fb65cd5c9b7111a',
'packagetype': 'sdist',
'python_version': 'source',
'size': 3684,
'upload_time': <DateTime '20110204T09:37:12' at f4da28>,
'url': 'http://pypi.python.org/packages/source/M/MPTools/MPTools-0.1.tar.gz'}]
>>> pprint.pprint(client.release_data('MPTools', '0.1'))
{'author': 'Tarek Ziade',
'author_email': 'tarek@mozilla.com',
'classifiers': [],
'description': 'UNKNOWN',
'download_url': 'UNKNOWN',
'home_page': 'http://bitbucket.org/tarek/mopytools',
'keywords': None,
'license': 'UNKNOWN',
'maintainer': None,
'maintainer_email': None,
'name': 'MPTools',
'package_url': 'http://pypi.python.org/pypi/MPTools',
'platform': 'UNKNOWN',
'release_url': 'http://pypi.python.org/pypi/MPTools/0.1',
'requires_python': None,
'stable_version': None,
'summary': 'Set of tools to build Mozilla Services apps',
'version': '0.1'}

这种方法的问题在于，XML-RPC API 发布的某些数据本来可以存储为静态文件并在简单索引页面中发布，以简化客户端工具的工作。这也将避免 PyPI 处理这些查询的额外工作。拥有像每个发行版的下载次数这样的非静态数据在专门的网络服务中发布是可以的，但是没有必要使用两种不同的服务来获取有关项目的全部静态数据。

依赖关系问题

PyPI 允许开发人员发布可以包含多个模块的 Python 项目，这些模块组织成 Python 包。但同时，项目可以通过 Require 定义模块级依赖关系。这两个想法都是合理的，但它们的组合却不是。

正确的做法是拥有项目级依赖关系，这正是 Setuptools 在 Distutils 之上添加的功能。它还提供了一个名为 easy_install 的脚本，用于通过在 PyPI 上查找它们来自动获取和安装依赖关系。在实践中，模块级依赖关系从未真正使用过，人们纷纷使用 Setuptools 的扩展。但是，由于这些功能是在 Setuptools 特定的选项中添加的，而 Distutils 或 PyPI 忽略了它们，因此 Setuptools 有效地创建了自己的标准，并成为了糟糕设计之上的一个 hack。

因此，easy_install 需要下载项目的存档并再次运行其 setup.py 脚本以获取所需的元数据，并且它必须对每个依赖关系都这样做。依赖关系图是在每次下载之后一点一点地构建的。

即使新的元数据被 PyPI 接受并可在线浏览，easy_install 仍然需要下载所有存档，因为如前所述，发布在 PyPI 上的元数据特定于用于上传它的平台，这可能与目标平台不同。但是，这种安装项目及其依赖关系的能力在 90% 的情况下已经足够好，并且是一个很棒的功能。因此，Setuptools 被广泛使用，尽管它仍然存在其他问题

• 如果依赖项安装失败，则不会进行回滚，系统可能最终处于损坏状态。
• 依赖关系图是在安装过程中动态构建的，因此如果遇到依赖关系冲突，系统也可能最终处于损坏状态。

卸载问题

Setuptools 没有提供卸载程序，即使其自定义元数据可能包含一个包含已安装文件列表的文件。另一方面，Pip 扩展了 Setuptools 的元数据以记录已安装的文件，因此能够进行卸载。但这又是另一组自定义元数据，这意味着单个 Python 安装可能包含多达四种不同的元数据，用于每个已安装的项目

• Distutils 的 egg-info，它是一个单一元数据文件。
• Setuptools 的 egg-info，它是一个包含元数据和额外 Setuptools 特定选项的目录。
• Pip 的 egg-info，它是前者的扩展版本。
• 托管打包系统创建的任何东西。

版本

元数据标准的目标之一是确保所有操作 Python 项目的工具能够以相同的方式对它们进行分类。对于版本，这意味着每个工具都应该能够知道 "1.1" 在 "1.0" 之后。但是，如果项目有自定义的版本控制方案，这就会变得更加困难。

确保一致版本控制的唯一方法是发布项目必须遵循的标准。我们选择的方案是一个经典的基于序列的方案。如 PEP 386 所定义，其格式为

N.N[.N]+[{a|b|c|rc}N[.N]+][.postN][.devN]

其中

• N 是一个整数。您可以使用任意数量的 N，并用点分隔它们，只要至少有两个 (MAJOR.MINOR)。
• a、b、c 和 rc 分别是alpha、beta 和release candidate 标记。它们后跟一个整数。发布候选版本有两个标记，因为我们希望该方案与 Python 兼容，Python 使用 rc。但我们发现 c 更简单。
• dev 后跟一个数字是一个开发标记。
• post 后跟一个数字是一个发布后标记。

根据项目的发布流程，dev 或 post 标记可用于两个最终版本之间的所有中间版本。大多数流程使用 dev 标记。

遵循此方案，PEP 386 定义了一个严格的排序

• alpha < beta < rc < final
• dev < non-dev < post，其中 non-dev 可以是 alpha、beta、rc 或 final

以下是一个完整的排序示例

1.0a1 < 1.0a2.dev456 < 1.0a2 < 1.0a2.1.dev456
  < 1.0a2.1 < 1.0b1.dev456 < 1.0b2 < 1.0b2.post345
    < 1.0c1.dev456 < 1.0c1 < 1.0.dev456 < 1.0
      < 1.0.post456.dev34 < 1.0.post456

该方案的目的是使其他打包系统能够轻松地将 Python 项目的版本转换为它们自己的方案。PyPI 现在拒绝上传包含不符合 PEP 386 版本号的 PEP 345 元数据的任何项目。

依赖项

PEP 345 定义了三个新字段，它们替换了 PEP 314 的Requires、Provides 和 Obsoletes。这些字段是 Requires-Dist、Provides-Dist 和 Obsoletes-Dist，可以在元数据中多次使用。

对于Requires-Dist，每个条目包含一个字符串，命名此发行版所需的另一个Distutils项目。需求字符串的格式与Distutils项目名称的格式相同（例如，在Name字段中找到的名称），可以选择在括号中后跟一个版本声明。这些Distutils项目名称应与 PyPI 中找到的名称一致，版本声明必须遵循 PEP 386 中描述的规则。一些示例是

Requires-Dist: pkginfo
Requires-Dist: PasteDeploy
Requires-Dist: zope.interface (>3.5.0)

Provides-Dist用于定义项目中包含的其他名称。当一个项目希望与另一个项目合并时，它很有用。例如，ZODB 项目可以包含transaction项目并声明

Provides-Dist: transaction

Obsoletes-Dist用于将另一个项目标记为过时版本

Obsoletes-Dist: OldName

环境标记

环境标记是可以在字段末尾使用分号添加的标记，用于添加关于执行环境的条件。一些示例是

Requires-Dist: pywin32 (>1.0); sys.platform == 'win32'
Obsoletes-Dist: pywin31; sys.platform == 'win32'
Requires-Dist: foo (1,!=1.3); platform.machine == 'i386'
Requires-Dist: bar; python_version == '2.4' or python_version == '2.5'
Requires-External: libxslt; 'linux' in sys.platform

环境标记的微语言故意保持简单，以便非 Python 程序员也能理解：它使用==和in运算符（以及它们的相反运算符）比较字符串，并允许常见的布尔组合。PEP 345 中可以使用此标记的字段是

• Requires-Python
• Requires-External
• Requires-Dist
• Provides-Dist
• Obsoletes-Dist
• Classifier

使用数据文件

假设您的MPTools应用程序需要使用配置文件。开发人员会将该文件放在 Python 包中，并使用__file__访问它

import os

here = os.path.dirname(__file__)
cfg = open(os.path.join(here, 'config', 'mopy.cfg'))

这意味着配置文件像代码一样安装，并且开发人员必须将其与她的代码放在一起：在本例中，放在名为config的子目录中。

我们设计的数据文件的新架构使用项目树作为所有文件的根目录，并允许访问树中的任何文件，无论它位于 Python 包还是简单目录中。这允许开发人员为数据文件创建专用的目录，并使用pkgutil.open访问它们

import os
import pkgutil

# Open the file located in config/mopy.cfg in the MPTools project
cfg = pkgutil.open('MPTools', 'config/mopy.cfg')

pkgutil.open查找项目元数据，并查看它是否包含RESOURCES文件。这是一个简单的文件到系统可能包含的路径的映射

config/mopy.cfg {confdir}/{distribution.name}

这里，{confdir}变量指向系统的配置文件目录，{distribution.name}包含元数据中找到的 Python 项目的名称。

图 14.4：查找文件

只要在安装时创建了这个RESOURCES元数据文件，API 就会为开发人员找到mopy.cfg的路径。由于config/mopy.cfg是相对于项目树的路径，这意味着我们还可以提供一个开发模式，在该模式下，项目的元数据将就地生成并添加到pkgutil的查找路径中。

声明数据文件

在实践中，项目可以通过在其setup.cfg文件中定义一个映射器来定义数据文件应该放在哪里。映射器是一个(glob-style pattern, target)元组列表。每个模式指向项目树中的几个文件之一，而目标是可能包含方括号中的变量的安装路径。例如，MPTools的setup.cfg可能看起来像这样

[files]
resources =
        config/mopy.cfg {confdir}/{application.name}/
        images/*.jpg    {datadir}/{application.name}/

sysconfig模块将提供和记录可以使用的特定变量列表，以及每个平台的默认值。例如，{confdir}在 Linux 上是/etc。因此，安装程序可以在安装时使用此映射器和sysconfig来了解文件应该放在哪里。最终，它们将在安装的元数据中生成前面提到的RESOURCES文件，以便pkgutil可以找到这些文件。

图 14.5：安装程序

同步

镜像必须减少中央服务器和镜像之间传输的数据量。为此，它们必须使用changelog PyPI XML-RPC 调用，并且只重新获取自上次更新以来已更改的包。对于每个包 P，它们必须复制文档/simple/P/和/serversig/P。

如果中央服务器上删除了某个包，则必须删除该包及其所有关联文件。为了检测包文件的修改，它们可以缓存文件的 ETag，并可以使用 If-None-Match 头部请求跳过它。同步结束后，镜像会将它的 /last-modified 更新为当前日期。

统计数据传播

当你从任何镜像下载一个发布版本时，该协议确保下载命中信息会被传送到主 PyPI 服务器，然后传送到其他镜像。这样做可以确保浏览 PyPI 以了解某个发布版本被下载了多少次的人员或工具能够获取到所有镜像的总和值。

统计数据被分组到中央 PyPI 的 stats 目录下的每日和每周 CSV 文件中。每个镜像都需要提供一个 local-stats 目录，其中包含其自身的统计数据。每个文件都提供了每个归档文件的下载次数，按使用代理分组。中央服务器每天访问镜像以收集这些统计数据，并将它们合并回全局 stats 目录，因此每个镜像必须至少每天更新一次 /local-stats。

镜像真实性

对于任何分布式镜像系统，客户端可能希望验证镜像副本的真实性。一些可能的威胁包括

• 中央索引可能被入侵
• 镜像可能被篡改
• 中央索引和最终用户之间，或镜像和最终用户之间的中间人攻击

为了检测第一次攻击，包作者需要使用 PGP 密钥对其包进行签名，以便用户能够验证该包来自他们信任的作者。镜像协议本身只解决第二个威胁，尽管有一些尝试是为了检测中间人攻击。

中央索引在 URL /serverkey 上提供一个 DSA 密钥，以 openssl dsa -pubout³ 生成的 PEM 格式提供。此 URL 不能被镜像，客户端必须直接从 PyPI 获取官方的 serverkey，或使用随 PyPI 客户端软件附带的副本。镜像仍然应该下载密钥，以便他们可以检测密钥滚动。

对于每个包，镜像签名在 /serversig/package 提供。这是并行 URL /simple/package 的 DSA 签名，以 DER 格式提供，使用 SHA-1 与 DSA⁴。

使用镜像的客户端需要执行以下步骤来验证包

1. 下载 /simple 页面，并计算其 SHA-1 哈希值。
2. 计算该哈希值的 DSA 签名。
3. 下载相应的 /serversig，并将其逐字节与步骤 2 中计算的值进行比较。
4. 计算并验证（针对 /simple 页面）他们从镜像下载的所有文件的 MD5 哈希值。

从中央索引下载时不需要验证，客户端也不应该这样做，以减少计算开销。

大约一年一次，密钥将被替换为一个新的密钥。镜像将不得不重新获取所有 /serversig 页面。使用镜像的客户端需要找到一个新的服务器密钥的受信任副本。获得一个副本的方法之一是从 https://pypi.python.org/serverkey 下载它。为了检测中间人攻击，客户端需要验证 SSL 服务器证书，该证书将由 CACert 颁发机构签名。