Rpush项目中解决Safari浏览器Webpush通知403错误的经验分享

在使用Rpush实现Webpush推送通知功能时，开发者可能会遇到一个特定于Safari浏览器的错误：当尝试向Safari用户发送推送通知时，服务器返回403 Forbidden错误，并附带"BadJwtToken"的错误信息。这个问题看似复杂，但实际上有一个简单的解决方案。

问题现象

当用户在Safari浏览器中授权接收推送通知后，系统会生成一个以https://web.push.apple.com开头的订阅端点(endpoint)。当开发者使用Rpush尝试向这个端点发送推送通知时，会遇到以下错误：

Rpush::DeliveryError: Unable to deliver notification 97546, received error 403 (Forbidden: {"reason":"BadJwtToken"})

相比之下，对于Chrome或Firefox等浏览器生成的以https://fcm.googleapis.com开头的端点，推送通知能够正常工作。

问题根源

这个问题的根本原因在于Rpush应用的VAPID(Voluntary Application Server Identification)认证配置不正确。具体来说，是在创建Webpush应用时，subject字段缺少了必要的mailto:前缀。

VAPID认证是Web Push协议的一部分，它允许应用服务器向推送服务证明自己的身份。在配置VAPID时，subject字段应该是一个邮件地址，并且必须以mailto:开头。

解决方案

正确的做法是在创建Rpush Webpush应用时，确保VAPID证书中的subject字段包含mailto:前缀。以下是正确的配置代码示例：

if Rpush::App.find_by(name: 'webpush').nil?
  vapid_keypair = Webpush.generate_key.to_hash
  app = Rpush::Webpush::App.new
  app.name = 'webpush'
  app.certificate = vapid_keypair.merge(subject: 'mailto:support@example.com').to_json
  app.connections = 1
  app.save!
end

如果已经错误地创建了应用，可以通过直接更新数据库来修复：

Rpush::App.where(name: 'webpush').update_all("certificate = REPLACE(certificate, 'support@example.com', 'mailto:support@example.com')")

技术背景

Web Push协议要求应用服务器使用VAPID认证来标识自己。VAPID使用JSON Web Tokens(JWT)来验证服务器身份。当subject字段格式不正确时，Apple的推送服务会拒绝这个JWT令牌，导致"BadJwtToken"错误。

Safari浏览器使用Apple自己的推送服务(web.push.apple.com)，而Chrome和Firefox则使用Google的Firebase Cloud Messaging服务(fcm.googleapis.com)。不同的推送服务对VAPID认证的验证严格程度可能有所不同，这解释了为什么问题只出现在Safari浏览器上。

最佳实践

1. 始终确保VAPID subject字段以mailto:开头
2. 使用有效的、可管理的邮件地址作为subject
3. 在开发和测试阶段，检查所有主流浏览器的推送功能
4. 考虑为不同环境(开发、测试、生产)使用不同的VAPID密钥对

通过遵循这些最佳实践，可以确保Web Push通知在所有主流浏览器上都能可靠工作，包括Safari。