VAPID（Voluntary Application Server Identification，自愿应用服务器标识）是Web Push协议中的一种认证机制。它允许推送服务器识别发送推送的应用服务器身份。

使用VAPID的好处：

• 安全性：防止未授权的第三方发送推送通知
• 身份识别：推送服务可以识别发送者，减少滥用
• 无需API密钥：不需要为每个推送服务（如FCM）申请独立的API密钥
• 标准化：符合IETF RFC 8292规范，跨平台兼容

VAPID使用ECDSA P-256椭圆曲线密钥对，私钥用于签名JWT，公钥用于前端订阅和验证签名。

生成VAPID密钥的常用方法：

1. 本工具：使用浏览器Web Crypto API在本地生成P-256密钥对，安全便捷
2. Node.js：使用 web-push 库的 generateVAPIDKeys() 方法
3. 命令行：使用 openssl ecparam -genkey -name prime256v1 生成
4. 在线服务：部分开发者工具网站也提供生成服务（注意私钥安全）

推荐在本地或服务器端生成密钥对，确保私钥不会泄露。本工具所有计算均在浏览器本地完成，不会发送任何数据到服务器。

Service Worker（SW）是Web Push的核心组件，它充当浏览器和推送服务器之间的中间代理：

• 接收推送：即使网页未打开，SW也能在后台接收推送消息
• 显示通知：SW调用 self.registration.showNotification() 显示系统通知
• 处理交互：监听 notificationclick 事件处理用户点击
• 管理订阅：通过 PushManager 创建和管理推送订阅

SW文件必须是独立的JS文件，与网页同源，且通过HTTPS（或localhost）提供服务。

推送订阅对象包含三个关键字段：

• endpoint：推送服务提供商的URL（如FCM、Mozilla Push Service）。服务器向此URL发送请求以触发推送
• keys.p256dh：客户端生成的P-256公钥（Base64URL编码），用于对推送消息进行端到端加密
• keys.auth：客户端生成的认证密钥（16字节），用于验证推送消息的真实性，防止重放攻击

这三个值必须完整地发送到后端，后端使用它们和VAPID私钥来构造加密的推送请求。缺少任何一个都会导致推送失败。

截至2025年，主流浏览器对Web Push的支持情况：

• Chrome/Edge：✅ 完整支持（使用FCM作为推送服务）
• Firefox：✅ 完整支持（使用Mozilla Push Service）
• Safari (macOS)：✅ 支持（使用Apple Push Notification Service）
• Safari (iOS 16.4+)：✅ 已支持（需将网站添加到主屏幕）
• Opera：✅ 支持
• Samsung Internet：✅ 支持

注意：iOS Safari的支持有特殊要求，网站必须作为PWA添加到主屏幕才能使用推送功能。

当用户拒绝通知权限后，浏览器会阻止再次弹出权限请求。挽回用户的策略：

1. 引导用户手动修改：提示用户通过浏览器设置重新启用通知（Chrome：地址栏左侧锁图标 → 通知 → 允许）
2. 提供价值说明：在请求权限前，先展示推送通知能为用户带来的价值
3. 二次请求时机：在用户完成关键操作后再次提示（需用户主动触发）
4. 使用软提示：先用页面内的提示框解释为什么需要通知权限，再调用浏览器原生权限弹窗

最佳实践：永远不要在没有上下文的情况下直接请求通知权限，这会导致高拒绝率。

后端发送Web推送的基本步骤（以Node.js为例）：

其他语言也有对应的库，如PHP的web-push-php、Python的pywebpush、Go的webpush-go等。