Zope对象能帮我们处理不同的任务，不同的对象可处理应用程序中的不同部份。一些对象可保存内容(文本、电子表格和图象等)；一些对象可处理逻辑操作，如接收Web表单的输入或执行脚本；一些对象可控制内容的显示，如显示网页、邮件等。

一般来说，基础的Zope对象有以下三类：

DTML对象的分类有些不清，它即可作为显示对象，也可作为逻辑处理对象。我们还可安装第三方的Zope对象来扩展zope的功能。我们通常称这些对象为“产品”

表 现层和逻辑层应该分开。表现层负责显示静态和动态内容。一般是html文档。ZPT采用XML名称空间元素，能有效分离逻辑层和表现层。DTML采用 “tags”元素，所以表现层和逻辑层分离得不好。ZPT和DTML都是“server-side”技术，就象SSI，PHP，JSP一样。代码都由服务 器来执行。

逻 辑对象返回数据给显示对象进行显示。在zope中内置的逻辑对象有python script和外部方法，这两种对象都是使用Python脚本语言来开发的。现在也可以使用perl script这个附加的逻辑对象了。好象也有一些产品可以在zope中使用php和jsp，如PHParser，PHPObject和ZopeJSP，但 我没试过。

SQL Methods也是一种逻辑对象，用于存储和执行数据库请求，这里就不详细介绍了，详细内容请参考第19章。

该应用很简单，只是计算所有债务利息的总计。

Zope自带有一个在线教程，你可以通过它来学习Zope。该教程可在对象添加列表中找到，添加后就可使用了。我已整理了一份The Zope Tutorial的学习笔记以供参考。

继承是面向对象理论中的一个重要概念。使用继承，一个对象可以继承特定类的行为，在有需要时，还可以重载或增加一个类的行为。类的行为用方法来定义，属性也可通过继承获得。

python、java都是典型的面向对象的编程语言。通过类的继承能方便我们在子类中继承父类的各种方法和属性，加快我们的开发速度和增加软件架构的稳定性。具体有关面向对象编程方法这里就不讲了，请参考相应的书籍。下面是一个用python写的有关类继承的例子：

>>> class SuperA:
...     def amethod(self):
...         print "I am the 'amethod' method of the SuperA class"
...     def anothermethod(self):
...         print "I am the 'anothermethod' method of the SuperA class"
...
>>> class SuperB:
...     def amethod(self):
...         print "I am the 'amethod' method of the SuperB class"
...     def anothermethod(self):
...         print "I am the 'anothermethod' method of the SuperB class"
...     def athirdmethod(self):
...         print "I am the 'athirdmethod' method of the SuperB class"
...
>>> class Sub(SuperA, SuperB):
...     def amethod(self):
...         print "I am the 'amethod' method of the Sub class"
...

这里定义了三个类，Sub类型继承自SuperA类和SuperB类。下面是使用这些类的例子：

>>> instance = Sub()
>>> instance.amethod()
I am the 'amethod' method of the Sub class
>>> instance.anothermethod()
I am the 'anothermethod' method of the SuperA class
>>> instance.athirdmethod()
I am the 'athirdmethod' method of the SuperB class

当调用Sub类的amethod()方法时，由于子类已定义了该方法，所以系统就直接调用。但当调用Sub类的 anothermethod()方法和athirdmethod()方法时，在Sub类是没有这些方法的，但由于Sub类继承了SuperA类和 SuperB类。所以系统会到这两个类中查询该方法。从而打印出以上结果，这就是继承。在非Zope系统中通常是用以上的方法进行方法的继承的，但在 Zope中，对象是用获取(Acquisition)这种工具来搜索方法的。

获取的概念很简单：

在Zope中，对象的继承机制先于获取机制。

我们现在用一个简单的例子来说明如何“获取”。在根目录中建一个叫“acquisition_test”的DTML Method。内容如下：

<html>
<body>
  <p>
   I am being called from within the <dtml-var title> Folder!
  </p>
</body>
</html>

保存并使用“view”功能可看到以下输出：

I am being called from within the Zope Folder!

Zope根目录文件夹的标题名是“Zope”，所以这样显示。现在我们在根目录下建立一个文件夹叫“ AcquisitionTestFolder”，标题为“TheAcquisitionTest”。现在我们在 “AcquisitionTestFolder”文件夹下执行“acquisition_test”这个DTML Method，在浏览器上打入以下地址：http://localhost: 8080/AcquisitionTestFolder/acquisition_test。你将看到以下内容：

I am being called from within the TheAcquisitionTest Folder!

注意到了吗？在“ AcquisitionTestFolder”文件夹内并没有“acquisition_test”，但zope照样可找到该方法，并把“title”换 成“AcquisitionTestFolder”的标题。这就是获取的概念，很简单。如果对象名在当前文件夹内找不找，zope就会到包含它的上一层文 件夹内去找，一层层地找，直到找到对象为止。用这种方法，获取可为对象添加方法，如“ AcquisitionTestFolder”文件夹就通过获取增加了一个“acquisition\ _test”方法。

对 象可以通过获取而获得相应的服务，同时也对其它对象提供服务。这使得我们重用服务变得很简单和容易。例如我们在一个叫AFolder的文件夹内建立了一个 “Mail Host”对象，则在该文件夹的对象就获得了发邮件的功能，同时也为“AFolder”文件夹的中的所有子文件夹提供了相同功能。

有时我们可能需要从多层目录结构中进行获取，如：我们有一个DTML Method，叫“HappySong”，它位于根目录中。根目录下有一个多层目录分别是“Users”、“Barney”、“Songs”。现在我们执行以下语句：

/Users/Barney/Songs/HappySong

由于“HappySong”位于根目录，所以这三个目录都可以调用该方法。如上例这样调用时，Zope的搜索顺序是这样的，它先在 “Songs”目录中搜索，如果找不到该方法，则到上一层目录“Barney”中搜索，如果还是找不到，则再上一级到“Users”目录搜索；以此类推， 最后，在根目录找到。这就是搜索的路径。

获取不仅能搜索一个包含结构，也可进行上下文结构搜索。但上下文搜索很复杂。接上例，如果在root目录找到“HappySong”。则有两种有趣的结构：

	获取功能只在在包含结构中搜索不到对象时才会通过上下文结构进行搜索。

如果大家想更深一层了解获取的工作原理，可以参考以下网址：http://zope.org/Members/jim/Info/IPC8/AcquisitionAlgebra/index.html。下面一节使用Zope调试器来演示两种获取结构。

在你的zope实例目录运行bin/zopectl debug，按以下步骤输入：

$ bin/zopectl debug
Starting debugger (the name "app" is bound to the top-level Zope object)
>>> app.manage_addFolder('Users')
>>> users = app.Users
>>> users.manage_addFolder('Barney')
>>> barney = users.Barney
>>> barney.manage_addFolder('Songs')
>>> songs = barney.Songs
>>> songs.aq_chain  # show the whole chain
[<Folder instance at f651b290>, <Folder instance at f651b260>, <Folder instance at f651b230>, <Application instance at f65b0290>]
>>> songs.aq_inner.aq_chain # show only containment;  here its the same
[<Folder instance at f651b290>, <Folder instance at f651b260>, <Folder instance at f651b230>, <Application instance at f65b0290>]

在上面，我们可以看到“Songs”文件夹的包含结构，且包含结构和上下文结构一样。现在让我们建立一个“HappySongs”页面模板，并测试它们的结构，在本例中，它们还是一样的。

>>> app.manage_addDTMLMethod('HappySong', file="""\
... <dtml-if favorite_color>
...   My favorite color is &dtml-favorite_color;.
... <dtml-else>
...   I don't have a favorite color.
... </dtml-if>
... """)
''
>>> happy = app.HappySong
>>> happy.aq_chain
[<DTMLMethod instance at f649d050>, <Application instance at f65b0290>]
>>> happy.aq_inner.aq_chain
[<DTMLMethod instance at f649d050>, <Application instance at f65b0290>]

下面我们模拟用“/Users/Barney/Songs/HappySong”来访问。

>>> happy2 = app.unrestrictedTraverse('/Users/Barney/Songs/HappySong')
>>> happy2.aq_chain
[<extension class OFS.DTMLMethod.DTMLMethod at f6b0d980>, <extension class OFS.Application.Application at f6a234d0>]
>>> happy2.aq_inner.aq_chain
[<DTMLMethod instance at f651b320>, <Application instance at f65b0290>]

我们注意到，包含结构(通过happy2.aq_inner.aq_chain访问)和上面一样，但上下文结构改变了，包含了所有经过的文件夹。

现在，让我们尝试通过获取的两种结构来查找属性，首先，我们显示通过包含获取没有得到“favorite_color”:

>>> happy2(songs, {}, None)
"  I don't have a favorite color.\n"

我们通过上下文结构设置“favorite_color”属性，这样我们就可以使用它了。

>>> barney.favorite_color = 'purple'
>>> happy2(songs, {}, None)
'  My favorite color is purple.\n'

获 取使得对象方法行为可分布在系统各处，当你添加一个新对象时，不用为这个对象建立所有对象方法，你可只建立只用于该对象的方法行为，其余的可依靠其它对象 获取。这样你就可通过修改一个对象的方法行为而改变其它与该对象有获取关系对象的行为。这可大大增中Zope应用程序的灵活性和适应性。下来的一些章节都 会用到获取技术，有关获取技术的基础原理介绍可参考以下网址：http://www.zope.org/Documentation/Books/ZDG/current/Acquisition.stx

在Zope中，可以使用python编程语言，以操作对象。

## Script (Python) "printExample"
##
for word in ('Zope', 'on', 'a', 'rope'):
    print word
return printed

Zope
on
a
rope

在python script中使用的对象id名不能用“.”分隔，因为在python script中，点用于分隔对象，所以在zope的默认页面要写成index_html，而不是通常使用的index.html。 hello_world_pt不能写成hello_world.pt。但如果一定要在ids中用“.”，则可以用getattr()函数来获得zpt。如

return getattr(context, 'hello_world.pt')(name="John Doe")

和zpt一样，我们也可在脚本中调用dtml，例如在脚本中调用一个a_dtml_method：

# grab the method and the REQUEST from the context
dtml_method = context.a_dtml_method
REQUEST = context.REQUEST

# call the dtml method, for parameters see below
s = dtml_method(client=context, REQUEST=REQUEST, foo='bar')

# s now holds the rendered html
return s

在zope中脚本就像一个函数或方法，可返回值。如果返回的是多值，则zope把它们放到列表或字典中。下面是一个返回一个字典的例子：

## Script (Python) "compute_diets"
d = {'fat': 10,
     'protein': 20,
     'carbohydrate': 40,
    }
return d

你可在下面的zpt中显示这些值：

<p tal:repeat="diet context/compute_diets">
   This animal needs
   <span tal:replace="diet/fat" />kg fat,
   <span tal:replace="diet/protein" />kg protein, and
   <span tal:replace="diet/carbohydrate" />kg carbohydrates.</p>

编写脚本的一个重要资源是访问Zope API，它描述了Zope对象的内建动作，熟悉它方便我们使用Zope对象。Zope API文档可在zope系统的在线帮助里查到，也可到zope的官方网站上去查询最新的版本。下面举几个使用Zope API的例子。

Zope页面模板是一种网页生成工具，它能帮助程序员与网页设计师协同开发zope应用程序。本章只介绍页面模板的基础功能，高级内容在高级页面模板这章介绍。

页面模板设计的目的是使程序员和网页设计师能够很好地一起协同工作。网页设计师可以用WYSIWYG的编辑器来建立模板，接着，程序员可编辑模板，增加逻辑处理功能，把模板组合到应用程序中。如果需要，网页设计师还可以把模板文件调出来修改而不会破坏程序员所做的工作。

页 面模板使用的是TAL(Template Attribute Language)，DTML Methods、DTML Documents和SQL Methods使用的是DTML(Document Template Markup Language)。在zope中存在两种模板语言的原因主要有两个：

建立XML页面模板和对立HTML模板一样，只是把“content-type”栏填上“text/xml”即可。

当你保存和按“test”标签进行测试，zope能帮你发现和定位页面模板的错误。保存时主要检测页面模板的语法错误，测试时主要检测逻辑错误。根目录下的error_log文档是一个日志，记录有系统出错的信息，还可通过配置控制日志记录的内容。

你可把需重复使用的表现形式和页面风格定义为宏，从而使它可在其它页面重用，使网站保持统一的页头、页脚和导航等。

<p metal:define-macro="copyright">
  Copyright 2001, <em>Foo, Bar, and Associates</em> Inc.
</p>

<hr />
<b metal:use-macro="container/standard_template.pt/macros/copyright">
  Macro goes here
</b>

<div metal:define-macro="sidebar">
  Links
  <ul>
    <li><a href="/">Home</a></li>
    <li><a href="/products">Products</a></li>
    <li><a href="/support">Support</a></li>
    <li><a href="/contact">Contact Us</a></li>
  </ul>
</div>

<div metal:define-macro="sidebar">
  Links
  <ul>
    <li><a href="/">Home</a></li>
    <li><a href="/products">Products</a></li>
    <li><a href="/support">Support</a></li>
    <li><a href="/contact">Contact Us</a></li>
  </ul>
  <span metal:define-slot="additional_info"></span>
</div>

<p metal:use-macro="container/master.html/macros/sidebar">
  <b metal:fill-slot="additional_info">
    Make sure to check out our <a href="/specials">specials</a>.
  </b>
</p>

<ul metal:define-macro="links"
    tal:repeat="link context/getLinks">
  <li>
    <a href="link url"
       tal:attributes="href link/url"
       tal:content="link/name">link name</a>
  </li>
</ul>

<html metal:define-macro="page">
  <head>
    <title tal:content="context/title">The title</title>
  </head>

  <body>
    <h1 metal:define-slot="headline"
        tal:content="context/title">title</h1>

    <p metal:define-slot="body">
      This is the body.
    </p>

    <span metal:define-slot="footer">
      <p>Copyright 2001 Fluffy Enterprises</p>
    </span>

  </body>
</html>

<html metal:use-macro="container/master.html/macros/page">

  <h1 metal:fill-slot="headline">
    Press Release:
    <span tal:replace="context/getHeadline">Headline</span>
  </h1>

  <p metal:fill-slot="body"
     tal:content="context/getBody">
    News item body goes here
  </p>

</html>

zope支持内容组件、表现组件和逻辑组件，页面模板是一种表现组件，但它也可作为显示内容的组件。

zope中的内容组件有ZSQL Methods，Files和Images。DTML文档和方法因为可以在里面执行代码，所以不算纯内容组件。你可以在Files中编辑和存储小于64K的文本文件。但Files对象很简单，不支持元数据和很多其它特性。

zope 的CMF通过提供一个“rich”内容组件有效解决了这些问题。CMF是zope的一个内容管理插件，它扩展了zope有关内容管理方面的功能，提供如工 作流、skins和内容对象等功能。听说Zope3里已包含了所有CMF的功能，这样Zope3在内容管理方面的功能就比Zope2强大很多了。

Zope是一个多用户系统，但它的安全机制不依靠操作系统的用户帐号，而是有自已的一个用户数据库。通过该用户数据库的授权和验证就可访问Zope应用程序和管理Zope系统。最重要的一点是zope的用户和操作系统的用户是完全没关系的。

在Zope中，通过Zope安全策略设置用户的权限，管理员有权设置相应的权限以适应你的商业要求。而且，使用安全策略还可以在Zope站点的不同地方设置“代理管理员”，代理管理员只在被授权管理的区域有管理员的权限。这样可实现分级管理，有效减轻管理员的工作量。

通过管理链接，我们可以登录进ZMI进行系统管理。为安全退出ZMI，你需选择“log out”退出。

一个Zope初始站点有两种用户：管理员和匿名用户。默认管理员有权管理Zope中的所有对象，匿名用户有权查询内容对象。

当一个用户访问受保护的资源时(如一个DTML方法)，Zope将会弹出一个验证窗口，用户一旦填完提交，Zope就用这个信息来查找用户，默认，Zope使用Http基本验证方式。

基于cookie-based的验证可把cookie信息存在站点的文件夹中。

Zope通过验证窗口提供的用户名和密码进行标识用户。当在用户数据库找到相同的用户名时，则这个用户就可被Zope标识了。

用 户一旦被标识，验证可能会进行，也可能不需做验证。如果用户不访问受限资源，Zope会信任这个用户，而不做密码验证。匿名用户访问公共网站就是这种情 况。一旦用户需访问受限资源，验证就会发生，只要前面输入的密码和数据库该用户的密码一样，则验证成功。ZMI就是一种受限资源，所以我们每次访问时都需 输入用户名和密码以进行标识和验证。

一旦用户通过验证，Zope就会确认该用户可以访问什么受限资源，这个过程称为“授权”。记住，Zope唯一需要验证信息的原因是因为用户需访问不被匿名用户访问的资源。

授权的过程包含有两个媒介，角色和许可。角色表示用户可以做什么，如管理员、作者，编辑等，这些角色由管理员管理。用户可能会有一个或多个不同的角色；对象许可表示可以对对象做些什么操作，如查询、删除和管理属性等。这些许可可在Zope系统内或Zope产品中定义。

Zope 中的上下文可表示为Zope 对象结构中的一个“位置”。由于安全性要求，上下文对象存储在zope对象数据库中。我们可以这样描述一个上下文，Examples文件夹位于Zope根 文件夹内；或者也可这样说，一个名为show_css的DTML方法对象位于Zope根文件夹内。实质上，上下文可以看成对象在Zope对象数据库中的位 置，可用路径来描述。在对象数据库中的每一个对象都有一个和Web管理接口关联的安全策略。为了减轻建立安全策略的负担，所有对象都可从包含对象中获取安 全策略。这样也能大大减轻安全策略的维护量。只当有个别例外情况下，才为单独的对象指定不同的安全策略。

实质上，安全策略是通过角色来控制 用户对上下文可以进行什么操作，换句话说，也就是“谁”在“哪里”可以做“什么”。例如：一个文件夹(上下文)的安全策略允许“Manager”角色对该 文件夹有“删除对象”的许可。这个安全策略允许管理员在这个文件夹内删除对象。如果一个DTML Method在这个文件夹被建立，而且我们没有对该对象指定独立的安全策略，而是获取自文件夹，则管理员就有权删除它。在该文件夹下建立的子文件夹同样也 获取了该安全策略，除非你在子文件夹中重新指定新的安全策略。

Zope提供一个默认的用户，用户名由建立实例时由用户命名。该用户拥用管理员角色，允许我们管理实例的对象。为了使其它用户可以登录入Zope，我们可以建立一个新的用户。

$ cd (... where your ZOPE_HOME is... )
$ python zpasswd.py access

Username: superuser
Password:
Verify password:

Please choose a format from:

SHA - SHA-1 hashed password
CRYPT - UNIX-style crypt password
CLEARTEXT - no protection.

Encoding: SHA
Domain restrictions:         

$ cd ( ... were your ZOPE_HOME is ... )
$ python zpasswd.py inituser

Username: bob
Password:
Verify password:

Please choose a format from:

SHA - SHA-1 hashed password
CRYPT - UNIX-style crypt password
CLEARTEXT - no protection.

Encoding: SHA
Domain restrictions:    

zope 的用户文件夹为了兼容所有浏览器，使用了基本的HTTP验证协议来验证用户，信息经过线路时很容易被截获并解码。所以如果你想建立一个高安全性的zope 服务器。你需用SSL连接你的服务器。一种实现方法是用apache等支持SSL的Web服务器作为Zope的前端。这样位于后端的Zope服务器就会受 到保护，这里有一篇apache+zope+ssl的集成文档http://zope.org/Members/unfo/apache_zserver_ssl。大家可参考一下。本书的“虚拟主机”一章会介绍一些相关的知识。

Zope 安全策略控制授权，它定义谁在哪里可以做什么。安全策略可以描述为如何用角色和许可来配置上下文中的对象。角色可把用户分类，许可用以保护对象。所以安全 策略也就是定义一类用户(角色)可以在网站中做什么(许可)。比指定一个用户对一个对象可以做什么更好的方法是指定一类用户在网站的一个区域可以做些什 么。这可使我们的安全策略简单而有力。当然，Zope两种方式都能很好地支持。

12.8.5. 设置安全策略

安 全策略是通过配置角色和许可来设置的，它定义在网站中“谁”在“哪里”可以“做什么”。要设置一个对象的安全策略，只要进入该对象的“Security” 标签设置即可。“Security”页面中间有很多选择框，竖列是角色栏，水平行是许可项。通过横坚交叉方式确定角色的许可。

很多Zope产品会增加自已的许可，所以这个表格的长度会随着你安装产品的数量不断增加。所以我们建立产品开发者尽量要用回系统自带的许可。

当 你打开根目录的“Security”页时，你会注意到系统已默认为我们配置了很多许可，而且该许可已可很好地工作。它赋予了管理员角色最大的许可，以进行 系统管理工作；而匿名用户角色就只配置了较少的许可，适用访问公共信息。我们可在这个基础上进行配置，以适合我们自已的安全需求。例如：我们可以把匿名用 户的许可全部取消，这样你的网站就变成私有的了，只有管理员可以访问。

	如果你在根目录上作以上设置，则该设置会应用到整个站点。如果你想在个别目录进行设置就需进入相应文件夹再进行配置。

12.8.6. 获取安全策略

Zope 中不同的安全策略是如果相互作用的呢？我们可以在不同的对象中建立安全策略，但哪个策略才是最终控制对象的呢？答案是如果对象本身设置了一个安全策略，则 使用这个安全策略。否则，对象会通过获取机制获取上一层对象的安全策略。Zope在安全策略中广泛使用获取机制。获取中Zope中在文件夹或子文件夹内共 享对象信息的一种结构。Zope安全系统通过获取来共享安全策略，所以可通过上层文件夹来控制下层对象和子文件夹。

你可通过 “Security”标签来设置安全策略获取功能。进入该标签后，屏幕左边有一列叫“Acquire permission settings”的选择框，每一个选择框代表一个或多个许可。默认所有框都是选中的，也就是说该对象获取了上一层对象的许可，再加上在这里指定给角色的 许可共同组成该对象的安全策略。

	根文件夹的左边是没有这些选择框的，因为它已是最高级的对象的，不存在获取。

假 设你需要一个私有的文件夹，只有认证用户可以浏览。正如前面所说，我们可以把这个对象的上下文中Anonymous角色的“View”许可去掉即可。但这 还不够，因为如果“Acquire permission settins”选择框是选中的话，它还是会获取上层对象中Anonymous角色的“View”许可的。所以，要设置私有文件夹，一定要取消 “Acquire permission settings”选项。这样才可确保只有在当前显式设置的许可才有效。

	如果你不想获取安全策略，请把“Acquire permission settings”的选择框清空。

在开发一个Zope应用程序时，开发人员一般不用编写程序进行安全检测，Zope会做很多工作。如果你访问一个受限资源时，Zope会自动弹出登录框，进行安全验证。如果你没有适当的访问许可，Zope会禁止你对资源的访问。

但是，我们希望可进行手动安全检测工作。主要原因不是为了阻止非法用户的访问，而是对合法用户访问受限资源的条件进行约束，以保证用户的正常访问，而不会进行一些无效的操作。

最 通常的安全检测是检查当前用户是否有一个许可。我们可以用“checkPermission”API来完成这项工作。假设你的应用程序允许用户上传文件， 这个操作受“Add Documents,Images,and Files”许可保护。我们可以用一个DTML里测试一个用户是否有这个许可。代码如下：

<dtml-if expr="_.SecurityCheckPermission(
              'Add Documents, Images, and Files', this())">

  <form action="upload">
   ...
  </form>

</dtml-if>

“SecurityCheckPermisson”函数有两个参数，一个是许可名，另一个是对象名。在DTML中可用this()传递当前的对象名。对于ZPT，语法不些不同，但操作是一样的。如：

<form action="upload" 
  tal:condition="python: modules['AccessControl'].getSecurityManager().checkPermission('Add /
  Documents, Images, and Files', here)">
...
</form>

python script也可以用来完成相同的任务，通过ZPT来调用安全检测的python script，下面一个调用check_security安全检测脚本的页面模板：

<form action="upload"
      tal:condition="python: here.check_security('Add Documents, Images and Files', here)">

check_security脚本如下：

## Script (Python) "check_security"
##bind container=container
##bind context=context
##bind namespace=
##bind script=script
##bind subpath=traverse_subpath
##parameters=permission, object
##title=Checks security on behalf of a caller

from AccessControl import getSecurityManager
sec_mgr = getSecurityManager()
return sec_mgr.checkPermission(permission, object)

在上例我们可以看到可通过手工的方式进行许可检测，Zope API中还有一些其它的函数为完成该工作，但“checkPermission”是最有用一个函数。通过“checkPermission”函数，我们可 以确认当前用户是否有适当的许可。你可通过访问用户对象获得当前用户名，用户对象和其它Zope对象一样，你可通过在API里定义的方法来操作对象。假设 我们想显示当前用户名，可在DTML里这样写：

<dtml-var expr="_.SecurityGetUser().getUserName()">

在DTML中用SecurityGetUser的getUserName()方法可获当前登录的用户名。ZPT中用 getUserName的user方法也可获得当前登录用户名。如果用户没有登录，则获得一个匿名用户名叫“Anonymous User”。在Zpt中的写法如下：

<p tal:content="user/getUserName">username</p>

Zope的安全API在本书的附录中有详细介绍。在Zope的ZMI通过中“help”也可查询到相关的内容。

我们已了解了有关Zope安全的基础内容，所有权和可执行内容的概念是什么呢？Zope用所有权来关联对象和对象的创建者，可执行内容包含脚本、DTML方法和DTML文档等执行用户代码的对象。

在针对可信用户的小型网站，这些高级主题可以忽略，但在一个允许不可信用户创建和管理Zope对象的大型网站，明白所有权和可执行内容这些内容就显得很重要了。

12.10.3. 可执行内容的角色

DTML 文档、DTML方法、SQL方法、python脚本都是可执行内容，因为它们可动态生成内容。对象内容可通过Web来编辑。当你访问它的URL时， Zope就会执行对象的可执行内容。对象的操作会受到对象拥用者的角色和访问者的角色的限制。也就是说，一个可执行对象只能执行拥用者和访问者都经授权允 许的操作。这可阻止一个无特权的用户写一个有害的脚本来欺骗一个特权用户来执行。你不能欺骗其他人执行一个你没有权执行的操作。这就是zope为什么能利 用所有权来保护服务器端免受木马攻击的原因。

	一个“unowned”对象是不能执行的。如果你要运行可执行对象，请确保设置了正确的所有权。