Как на сервере проверить подлинность публичного ключа VAPID?

Question

[karpo518]

Скрипт js на стороне клиента хранит VAPID public key в виде строки, но отправляет его на сервере, пропустив через функцию urlBase64ToUint8Array

Функция urlBase64ToUint8Array

function urlBase64ToUint8Array(base64String) {
    const padding = '='.repeat((4 - (base64String.length % 4)) % 4);
    const base64 = (base64String + padding).replace(/\-/g, '+').replace(/_/g, '/');

    const rawData = window.atob(base64);
    const outputArray = new Uint8Array(rawData.length);

    for (let i = 0; i < rawData.length; ++i) {
      outputArray[i] = rawData.charCodeAt(i);
    }
    return outputArray;
  }

Непонятно, как сопоставить на сервере ключ из настроек и ключ, полученный в запросе. Сами ключи создаются с помощью php-скрипта https://github.com/web-push-libs/web-push-php/blob...

Answer 1

[Daria Motorina]

Функция urlBase64ToUint8Array() высылает зашифрованные ключи на сторонний сервер (от имени которого будут лететь уведомления в браузер пользователя), а не на ваш сервер (код демки автора этого пакета), вам нужно получать эти ключи сырыми на бекенде самому (по-сути - читать из файла). Вам не нужно самому преобразовывать ключи на бекенде, это решается на уровне вендорного кода.

Comments

[karpo518]

Daria Motorina Спасибо за ответ. Действительно, преобразованный публичный ключ используется для подписки на серверах Google и Mozilla. В ответ серверы отправляют свой публичный ключ, оба публичных ключа используются в классе Webpush для отправки уведомлений. Может, ещё в другом вопросе подскажете? Как правильно работать с web push уведомлениями?

[Daria Motorina]

karpo518, ответила в вопрос, который вы просили