Ya vimos cómo se puede usar una biblioteca para activar mensajes de envío ¿están haciendo exactamente estas bibliotecas?
Hacen solicitudes de red y, a la vez, se aseguran de que estas el formato correcto. La especificación que define esta solicitud de red es Protocolo de envío web.
En esta sección, se describe cómo el servidor puede identificarse con la aplicación las claves de servidor y cómo se envían la carga útil encriptada y los datos asociados.
Este no es el lado más bello de web push y yo no soy experto en encriptación, pero veamos cada pieza, ya que es útil saber qué hacen estas bibliotecas en niveles más profundos.
Claves de servidor de aplicaciones
Cuando suscribemos a un usuario, pasamos un applicationServerKey
. Esta clave es
pasan al servicio push y se usan para comprobar que la aplicación que se suscribía
el usuario es también la aplicación que activa los mensajes de envío.
Cuando activamos un mensaje push, hay un conjunto de encabezados que enviamos que permiten que el servicio de envío autentique la aplicación. (Esto se define en la especificación de VAPID).
¿Qué significa todo esto y qué sucede exactamente? Bueno, estos son los pasos que se siguieron para autenticación del servidor de aplicaciones:
- El servidor de aplicaciones firma cierta información JSON con su clave de aplicación privada.
- Esta información firmada se envía al servicio de notificaciones push como un encabezado en una solicitud POST.
- El servicio push usa la clave pública almacenada que recibió de
pushManager.subscribe()
para verificar que la información recibida esté firmada por la clave privada relacionada con la clave pública. Recuerda: La clave pública es elapplicationServerKey
que se pasa a la llamada de suscripción. - Si la información firmada es válida, el servicio de envío envía el mensaje push al usuario.
A continuación, se muestra un ejemplo de este flujo de información. (Observa la leyenda en la esquina inferior izquierda para indicar claves públicas y privadas).
La “información firmada” agregado al encabezado de la solicitud es un token web JSON.
Token web JSON
Un token web JSON (o JWT, en resumen) es una forma de enviar un mensaje a un tercero para que el receptor pueda validar quién lo envió.
Cuando un tercero recibe un mensaje, debe obtener la clave pública del remitente y usarla para validar la firma del JWT. Si el botón firma es válida, el JWT debe haberse firmado con el nombre de por lo que debe ser del remitente esperado.
Hay una gran cantidad de bibliotecas en https://jwt.io/ que pueden realizar la firma por ti. Te recomiendo que lo hagas siempre que sea posible. Para completarlo, veamos cómo crear manualmente un JWT firmado.
Envío web y JWT firmados
Un JWT firmado es solo una cadena, aunque se puede considerar como tres cadenas unidas con puntos.
La primera y la segunda cadena (información y datos de JWT) son partes JSON codificado en base64, lo que significa que es de lectura pública.
La primera cadena es información sobre el JWT, que indica qué algoritmo se usó para crear la firma.
La información del JWT para los mensajes web push debe contener la siguiente información:
{
"typ": "JWT",
"alg": "ES256"
}
La segunda cadena son los datos del JWT. Esto proporciona información sobre el remitente del JWT, para quién está destinado y durante cuánto tiempo es válido.
Para el envío web, los datos tendrían este formato:
{
"aud": "https://some-push-service.org",
"exp": "1469618703",
"sub": "mailto:example@web-push-book.org"
}
El valor aud
es el "público", es decir, a quién está destinado el JWT. Para la Web, envía el
El público es el servicio push, así que lo configuramos en el origen del
servicio.
El valor exp
es el vencimiento del JWT. Esto evita que los espías
volver a usar un JWT si lo interceptan. El vencimiento es una marca de tiempo en
segundos y no debe superar las 24 horas.
En Node.js, el vencimiento se configura de la siguiente manera:
Math.floor(Date.now() / 1000) + 12 * 60 * 60;
Son 12 horas en lugar de 24 para evitar cualquier problema con las diferencias de reloj entre la aplicación de envío y el servicio push.
Por último, el valor de sub
debe ser una URL o una dirección de correo electrónico mailto
.
Esto es para que si un servicio push necesita comunicarse con el remitente, pueda
la información de contacto del JWT. (por eso la biblioteca de notificaciones web push necesitaba una dirección de correo electrónico).
Al igual que la información de JWT, los datos de JWT se codifican como una base64 segura para URL una cadena vacía.
La tercera cadena, la firma, es el resultado de tomar las dos primeras cadenas (información de JWT y datos de JWT), uniéndolos con un carácter de punto, que llamar al “token sin firmar” y firmarlo.
El proceso de firma requiere encriptar el "token sin firmar" con ES256. De acuerdo con la columna JWT spec, ES256 es la sigla en inglés de “ECDSA con la curva P-256 y el algoritmo de hash SHA-256”. Con la criptografía web, puedes crear la firma de la siguiente manera:
// Utility function for UTF-8 encoding a string to an ArrayBuffer.
const utf8Encoder = new TextEncoder('utf-8');
// The unsigned token is the concatenation of the URL-safe base64 encoded
// header and body.
const unsignedToken = .....;
// Sign the |unsignedToken| using ES256 (SHA-256 over ECDSA).
const key = {
kty: 'EC',
crv: 'P-256',
x: window.uint8ArrayToBase64Url(
applicationServerKeys.publicKey.subarray(1, 33)),
y: window.uint8ArrayToBase64Url(
applicationServerKeys.publicKey.subarray(33, 65)),
d: window.uint8ArrayToBase64Url(applicationServerKeys.privateKey),
};
// Sign the |unsignedToken| with the server's private key to generate
// the signature.
return crypto.subtle.importKey('jwk', key, {
name: 'ECDSA', namedCurve: 'P-256',
}, true, ['sign'])
.then((key) => {
return crypto.subtle.sign({
name: 'ECDSA',
hash: {
name: 'SHA-256',
},
}, key, utf8Encoder.encode(unsignedToken));
})
.then((signature) => {
console.log('Signature: ', signature);
});
Un servicio push puede validar un JWT con la clave pública del servidor de aplicaciones para desencriptar la firma y asegurarse de que la cadena desencriptada sea la misma que el "token sin firmar" (es decir, las dos primeras cadenas del JWT).
El JWT firmado (es decir, las tres cadenas unidas por puntos) se envía al servicio de notificaciones push web como el encabezado Authorization
con WebPush
agregado al principio, de la siguiente manera:
Authorization: 'WebPush [JWT Info].[JWT Data].[Signature]';
El Protocolo de notificaciones push web también establece que la clave pública del servidor de aplicaciones se debe enviar en el encabezado Crypto-Key
como una cadena codificada en base64 segura para URL con p256ecdsa=
al principio.
Crypto-Key: p256ecdsa=[URL Safe Base64 Public Application Server Key]
La encriptación de la carga útil
A continuación, veremos cómo podemos enviar una carga útil con un mensaje push para que, cuando nuestra app web reciba un mensaje push, pueda acceder a los datos que recibe.
Una pregunta común que surge de quienes han usado otros servicios push es ¿por qué la web envía carga útil deben encriptarse? Con las apps nativas, los mensajes push pueden enviar datos como texto sin formato.
Parte de la belleza de los mensajes push web es que, como todos los servicios push usan la misma API (el protocolo de notificaciones push web), a los desarrolladores no les importa quién es el servicio push. Podemos realizar una solicitud en el formato correcto y esperar que se envíe un mensaje push. La desventaja de esto es que los desarrolladores enviar mensajes a un servicio push que no sea confiable. Cuando se encripta la carga útil, un servicio push no puede leer los datos que se envían. Solo el navegador puede desencriptar la información. Esto protege la privacidad del usuario de datos no estructurados.
La encriptación de la carga útil se define en el campo Encriptación de mensajes spec.
Antes de analizar los pasos específicos para encriptar una carga útil de mensajes push, deberíamos analizar algunas técnicas que se usarán durante el proceso de encriptación. (Un gran agradecimiento a Mat Scales por su excelente artículo sobre la encriptación push).
ECDH y HKDF
Tanto ECDH como HKDF se usan en todo el proceso de encriptación y ofrecen beneficios para la de encriptar información.
ECDH: Intercambio de claves de curva elíptica de Diffie-Hellman
Imagina que tienes dos personas que quieren compartir información, Alicia y Roberto. Tanto Alice como Bob tienen sus propias claves públicas y privadas. Alicia y Roberto comparten sus claves públicas entre sí.
La propiedad útil de las claves generadas con ECDH es que Alice puede usar su clave privada y la clave pública de Roberto para crear el valor secreto "X". Roberto puede hacer mismo, tomando su clave privada y la pública de Alice para crear de forma independiente el mismo valor 'X'. Esto hace que 'X' un secreto compartido y Alice y Bob solo tuvieron que compartir su clave pública. Ahora Roberto y Alicia pueden usar “X” para encriptar y desencriptar mensajes entre ellos.
ECDH, a mi leal saber y entender, define las propiedades de las curvas que permiten esta “función” de hacer un secreto compartido, 'X'.
Esta es una explicación general de la ECDH. Si quieres obtener más información, te recomiendo que mires este video.
En términos de código, la mayoría de los lenguajes / plataformas incluyen bibliotecas para hacerlo generar estas claves fácilmente.
En el nodo, haríamos lo siguiente:
const keyCurve = crypto.createECDH('prime256v1');
keyCurve.generateKeys();
const publicKey = keyCurve.getPublicKey();
const privateKey = keyCurve.getPrivateKey();
HKDF: Función de derivación de claves basada en HMAC
Wikipedia tiene una descripción breve del HKDF:
HKDF es una función de derivación de claves basada en HMAC que transforma cualquier clave débil en material de claves criptográficamente seguro. Se puede usar, por ejemplo, para convertir secretos compartidos intercambiados de Diffie Hellman en material de clave adecuado para usar en la encriptación, la verificación de integridad o la autenticación.
En esencia, HKDF tomará entradas que no son particularmente seguras y las hará más seguras.
La especificación que define esta encriptación requiere el uso de SHA-256 como nuestro algoritmo de hash y las claves resultantes para el HKDF en notificaciones push web no deben superar los 256 bits (32 bytes).
En el nodo, esto se podría implementar de la siguiente manera:
// Simplified HKDF, returning keys up to 32 bytes long
function hkdf(salt, ikm, info, length) {
// Extract
const keyHmac = crypto.createHmac('sha256', salt);
keyHmac.update(ikm);
const key = keyHmac.digest();
// Expand
const infoHmac = crypto.createHmac('sha256', key);
infoHmac.update(info);
// A one byte long buffer containing only 0x01
const ONE_BUFFER = new Buffer(1).fill(1);
infoHmac.update(ONE_BUFFER);
return infoHmac.digest().slice(0, length);
}
Gracias al artículo de Mat Scale por este código de ejemplo.
Esto abarca de forma vaga ECDH y HKDF.
ECDH es una forma segura de compartir claves públicas y generar un secreto compartido. HKDF es una forma de tomar material no seguro y hacerlo seguro.
Se usará durante la encriptación de nuestra carga útil. A continuación, veamos qué tomamos como entrada y cómo se encripta.
Entradas
Cuando queremos enviar un mensaje push a un usuario con una carga útil, necesitamos tres entradas:
- La carga útil en sí.
- El secreto
auth
dePushSubscription
. - La clave
p256dh
dePushSubscription
.
Vimos que los valores auth
y p256dh
se recuperan de un PushSubscription
, pero para un
Un recordatorio rápido. En el caso de una suscripción, necesitaremos estos valores:
subscription.toJSON().keys.auth;
subscription.toJSON().keys.p256dh;
subscription.getKey('auth');
subscription.getKey('p256dh');
El valor auth
debe tratarse como un secreto y no debe compartirse fuera de tu aplicación.
La clave p256dh
es pública y, a veces, se denomina clave pública del cliente. Aquí, nos referiremos a p256dh
como la clave pública de la suscripción. El navegador genera la clave pública de suscripción. El navegador mantendrá la clave privada en secreto y la usará para desencriptar la carga útil.
Estos tres valores, auth
, p256dh
y payload
, se necesitan como entradas, y el resultado del proceso de encriptación será la carga útil encriptada, un valor de sal y una clave pública que se usa solo para encriptar los datos.
Sal
La sal debe ser de 16 bytes de datos aleatorios. En NodeJS, haríamos lo siguiente para crear una sal:
const salt = crypto.randomBytes(16);
Claves públicas o privadas
Las claves públicas y privadas se deben generar usando una curva elíptica P-256, lo que haremos en Node:
const localKeysCurve = crypto.createECDH('prime256v1');
localKeysCurve.generateKeys();
const localPublicKey = localKeysCurve.getPublicKey();
const localPrivateKey = localKeysCurve.getPrivateKey();
Nos referiremos a estas claves como “claves locales”. Se usan solo para encriptación y tienen no tiene nada que ver con las claves del servidor de la aplicación.
Con la carga útil, el secreto de autenticación y la clave pública de suscripción como entradas y con un archivo y un conjunto de claves locales, estamos listos para hacer un poco de encriptación.
Secret compartido
El primer paso es crear un secreto compartido usando la clave pública de suscripción y nuestra nueva (¿recuerdas la explicación de ECDH con Alice y Bob? Así de simple).
const sharedSecret = localKeysCurve.computeSecret(
subscription.keys.p256dh,
'base64',
);
Esto se usa en el siguiente paso para calcular la clave pseudoaleatoria (PRK).
Clave pseudoaleatoria
La clave seudoaleatoria (PRK) es la combinación de la autenticación de la suscripción de envío secreto y el secreto compartido que acabamos de crear.
const authEncBuff = new Buffer('Content-Encoding: auth\0', 'utf8');
const prk = hkdf(subscription.keys.auth, sharedSecret, authEncBuff, 32);
Es posible que te preguntes para qué sirve la cadena Content-Encoding: auth\0
.
En resumen, no tiene un propósito claro, aunque los navegadores podrían
desencriptar un mensaje entrante y buscar la codificación de contenido esperada.
\0
agrega un byte con un valor de 0 al final del búfer. Este es
de lo que esperan los navegadores que desencriptan el mensaje, que esperará
para la codificación de contenido, seguido de un byte con el valor 0 y del
y mantener los datos encriptados.
Nuestra clave seudoaleatoria solo ejecuta la autenticación, el secreto compartido y un fragmento de información de codificación a través del HKDF (es decir, fortalecerlo a nivel criptográfico).
Contexto
El “contexto” es un conjunto de bytes que se usa para calcular dos valores más adelante en la encriptación navegador. En esencia, se trata de un array de bytes que contiene la clave pública de la suscripción y la con una clave pública local.
const keyLabel = new Buffer('P-256\0', 'utf8');
// Convert subscription public key into a buffer.
const subscriptionPubKey = new Buffer(subscription.keys.p256dh, 'base64');
const subscriptionPubKeyLength = new Uint8Array(2);
subscriptionPubKeyLength[0] = 0;
subscriptionPubKeyLength[1] = subscriptionPubKey.length;
const localPublicKeyLength = new Uint8Array(2);
subscriptionPubKeyLength[0] = 0;
subscriptionPubKeyLength[1] = localPublicKey.length;
const contextBuffer = Buffer.concat([
keyLabel,
subscriptionPubKeyLength.buffer,
subscriptionPubKey,
localPublicKeyLength.buffer,
localPublicKey,
]);
El búfer de contexto final es una etiqueta, la cantidad de bytes en la clave pública de suscripción, seguida de la clave en sí, luego la cantidad de bytes de la clave pública local, seguida de la clave en sí.
Con este valor de contexto, podemos usarlo en la creación de un nonce y una clave de encriptación de contenido (CEK).
Clave de encriptación de contenido y nonce
Un nonce es un valor que impide la repetición. ataques, ya que solo deben usarse una vez.
La clave de encriptación de contenido (CEK) es la clave que se usará en última instancia para encriptar nuestra carga útil.
Primero, debemos crear los bytes de datos para el nonce y la CEK, que es simplemente una cadena de codificación de contenido seguida del búfer de contexto que acabamos de calcular:
const nonceEncBuffer = new Buffer('Content-Encoding: nonce\0', 'utf8');
const nonceInfo = Buffer.concat([nonceEncBuffer, contextBuffer]);
const cekEncBuffer = new Buffer('Content-Encoding: aesgcm\0');
const cekInfo = Buffer.concat([cekEncBuffer, contextBuffer]);
Esta información se ejecuta a través de HKDF combinando la sal y la PRK con nonceInfo y cekInfo:
// The nonce should be 12 bytes long
const nonce = hkdf(salt, prk, nonceInfo, 12);
// The CEK should be 16 bytes long
const contentEncryptionKey = hkdf(salt, prk, cekInfo, 16);
Esto nos proporciona el nonce y la clave de encriptación de contenido.
Realiza la encriptación
Ahora que tenemos nuestra clave de encriptación de contenido, podemos encriptar la carga útil.
Creamos un algoritmo de cifrado AES128 con la clave de encriptación del contenido como clave, y el nonce es un vector de inicialización.
En Node, esto se hace de la siguiente manera:
const cipher = crypto.createCipheriv(
'id-aes128-GCM',
contentEncryptionKey,
nonce,
);
Antes de encriptar la carga útil, debemos definir cuánto relleno deseamos para agregar al principio de la carga útil. El motivo por el que queremos agregar padding es que evita el riesgo de que los espías puedan determinar los “tipos” de mensajes en función del tamaño de la carga útil.
Debes agregar dos bytes de relleno para indicar la longitud de cualquier relleno adicional.
Por ejemplo, si no agregas relleno, tendrías dos bytes con el valor 0, es decir, no hay relleno. Después de estos dos bytes, leerás la carga útil. Si agregaste 5 bytes de relleno, los primeros dos bytes tendrán un valor de 5, por lo que el consumidor leerá cinco bytes adicionales y comenzará a leer la carga útil.
const padding = new Buffer(2 + paddingLength);
// The buffer must be only zeros, except the length
padding.fill(0);
padding.writeUInt16BE(paddingLength, 0);
Luego, ejecutamos el relleno y la carga útil a través de este algoritmo de cifrado.
const result = cipher.update(Buffer.concat(padding, payload));
cipher.final();
// Append the auth tag to the result -
// https://nodejs.org/api/crypto.html#crypto_cipher_getauthtag
const encryptedPayload = Buffer.concat([result, cipher.getAuthTag()]);
Ahora tenemos nuestra carga útil encriptada. ¡Bien!
Solo queda determinar cómo se envía esta carga útil al servicio de push.
Encabezados de carga útil encriptados y cuerpo
Para enviar esta carga útil encriptada al servicio de notificaciones push, debemos definir algunos encabezados diferentes en nuestra solicitud POST.
Encabezado de encriptación
La clave de encriptación debe contener la sal que se usó para encriptar la carga útil.
La sal de 16 bytes debe tener una URL base64 codificada y debe agregarse al encabezado de encriptación de la siguiente manera:
Encryption: salt=[URL Safe Base64 Encoded Salt]
Encabezado de la clave criptográfica
Vimos que el encabezado Crypto-Key
se usa en la sección "Claves del servidor de aplicaciones" para contener la clave pública del servidor de aplicaciones.
Este encabezado también se usa para compartir la clave pública local que se usa para encriptar la carga útil.
El encabezado resultante se ve así:
Crypto-Key: dh=[URL Safe Base64 Encoded Local Public Key String]; p256ecdsa=[URL Safe Base64 Encoded Public Application Server Key]
Encabezados de tipo, longitud y codificación de contenido
El encabezado Content-Length
es la cantidad de bytes en la
la carga útil útil. Content-Type y "Content-Encoding" encabezados son valores fijos.
Esto se muestra a continuación.
Content-Length: [Number of Bytes in Encrypted Payload]
Content-Type: 'application/octet-stream'
Content-Encoding: 'aesgcm'
Con estos encabezados configurados, debemos enviar la carga útil encriptada como el cuerpo de la solicitud. Observa que Content-Type
está configurado como
application/octet-stream
Esto se debe a que la carga útil encriptada
se envía como un flujo de bytes.
En Node.js haremos esto de la siguiente manera:
const pushRequest = https.request(httpsOptions, function(pushResponse) {
pushRequest.write(encryptedPayload);
pushRequest.end();
¿Más encabezados?
Hemos hablado de los encabezados que se utilizan para las claves JWT / servidor de aplicaciones (es decir, cómo identificar con el servicio push), y abordamos los encabezados que se usan para enviar un archivo la carga útil útil.
Existen encabezados adicionales que los servicios de envío usan para alterar el comportamiento de mensajes enviados. Algunos de estos encabezados son obligatorios, mientras que otros son opcionales.
Encabezado del TTL
Obligatorio
TTL
(o tiempo de actividad) es un número entero que especifica la cantidad de segundos que deseas que tu mensaje push permanezca en el servicio de notificaciones push antes de que se entregue. Cuando venza el TTL
, el mensaje se quitará de la cola del servicio push y no se entregará.
TTL: [Time to live in seconds]
Si estableces TTL
en cero, el servicio push intentará entregar
inmediatamente, pero si no se puede establecer la conexión con el dispositivo,
se eliminarán de inmediato de la cola de servicios de aplicaciones.
Técnicamente, un servicio push puede reducir el TTL
de un mensaje push si así lo desea. Para saber si esto sucedió, examina el encabezado TTL
en la respuesta de un servicio push.
Tema
Opcional
Los temas son cadenas que se pueden usar para reemplazar un mensaje pendiente por una mensaje nuevo si tienen nombres de temas coincidentes.
Esto es útil en situaciones en las que se envían varios mensajes mientras un dispositivo está sin conexión y solo deseas que un usuario vea el mensaje más reciente cuando el dispositivo esté encendido.
Urgencia
Opcional
La urgencia le indica al servicio push qué tan importante es un mensaje para el usuario. El servicio push puede usar esto para ayudar a conservar la duración de batería del dispositivo de un usuario, ya que solo se activa para recibir mensajes importantes cuando la batería está baja.
El valor del encabezado se define como se muestra a continuación. El valor predeterminado es normal
.
Urgency: [very-low | low | normal | high]
Todo en un solo lugar
Si tienes más preguntas sobre cómo funciona todo esto, puedes ver cómo se activan las bibliotecas enviar mensajes en la organización web-push-libs
Una vez que cuentes con una carga útil encriptada y con los encabezados anteriores, solo necesitas realizar una solicitud POST.
al endpoint
en un PushSubscription
.
¿Qué hacemos con la respuesta a esta solicitud POST?
Respuesta del servicio push
Una vez que hayas realizado una solicitud a un servicio de notificaciones push, debes verificar el código de estado de la respuesta, ya que te indicará si la solicitud se realizó correctamente o no.
Código de estado | Descripción |
---|---|
201 | Fecha de creación. Se recibió y aceptó la solicitud para enviar un mensaje push. |
429 | Demasiadas solicitudes. Esto significa que el servidor de aplicaciones alcanzó un límite de frecuencia con un servicio push. El servicio push debe incluir un valor "Retry-After" para indicar cuánto tiempo antes de que se pueda realizar otra solicitud. |
400 | Solicitud no válida. Por lo general, esto significa que uno de los encabezados no es válido. o con un formato incorrecto. |
404 | No se encontró. Esta es una indicación de que la suscripción venció y no se pueden usar. En este caso, debes borrar "PushSubscription" y esperar a que el cliente vuelva a suscribir al usuario. |
410 | Se fue. La suscripción ya no es válida y debería quitarse del servidor de aplicaciones. Para reproducir esto, llama a "unsubscribe(") en una "PushSubscription". |
413 | El tamaño de la carga útil es demasiado grande. El tamaño mínimo de carga útil que debe tener un servicio de envío es de 4,096 bytes (o 4 KB). |
También puedes leer el estándar de envío web (RFC8030) para obtener más información sobre los códigos de estado HTTP.
Próximos pasos
- Descripción general de las notificaciones push en la web
- Cómo funciona el envío
- Cómo suscribir a un usuario
- UX de permisos
- Envía mensajes con bibliotecas push web
- Protocolo web push
- Cómo controlar los eventos push
- Cómo mostrar una notificación
- Comportamiento de las notificaciones
- Patrones de notificación comunes
- Preguntas frecuentes sobre las notificaciones push
- Problemas habituales y errores de informes