コンテンツにスキップ

アーキテクチャと送信の仕組み

todoke は Cloudflare のプラットフォームのみで構成された Web Push 通知 SaaS です。このページでは、通知が API 呼び出しからブラウザに届くまでの内部の流れと、送信を安定させるための仕組みを解説します。

todoke は次の Cloudflare コンポーネントで構成されています。

コンポーネント役割
Cloudflare WorkersREST API・Queue Consumer の実行環境
Cloudflare D1アプリ・購読者・API キー・送信ログなどの永続化(SQLite)
Cloudflare KVセッション・OAuth ステートの一時保存
Cloudflare Queues通知送信のバッファリングと非同期配信
Cloudflare Pagesダッシュボード(SPA)のホスティング

外部の Web Push サービス(Google FCM、Mozilla autopush、Apple の Web Push 用 APNs など)へは、購読者のブラウザ・OS に応じて自動的に振り分けられます。これはブラウザ側の Push Subscription の endpoint に含まれる情報であり、todoke 側で明示的に選択するものではありません。

通知の送信は次の経路をたどります。

REST API → Cloudflare Queues → Queue Consumer Worker → Push サービス(FCM 等)→ ブラウザ
  1. クライアント(SDK・CLI・curl など)が POST /api/v1/notify を呼び出す
  2. API はペイロードサイズやプラン上限などを検証したうえで、通知を Cloudflare Queues に enqueue する
  3. API は enqueue が完了した時点で 202 Accepted を返す
  4. Queue Consumer Worker が非同期にメッセージを取り出し、購読者ごとに Push サービスへ配信する

この非同期化により、購読者数が多いアプリでも API リクエストがタイムアウトすることなく、常に高速なレスポンスを返せます。

リトライと DLQ(Dead Letter Queue)

Section titled “リトライと DLQ(Dead Letter Queue)”

Queue Consumer Worker での処理が失敗した場合、そのメッセージは自動的にリトライされます。

  • リトライ回数: メッセージ単位で最大 3 回
  • リトライを使い切った場合: メッセージは DLQ(Dead Letter Queue) に送られます
  • DLQ に到達したメッセージ: 内容を記録したうえで破棄されます。つまり、その通知は再送されず失われます

ブラウザの購読は、ユーザーが通知を許可しなくなった場合やブラウザ側で購読期限が切れた場合などに失効します。todoke では、Push サービスへの配信時に HTTP 410(Gone)または 404(Not Found) が返された購読を、その時点で自動的に非アクティブ化します。

非アクティブ化された購読には次のとおり適用されます。

  • 以降の通知送信の対象から除外される
  • 購読者数(プラン上限のカウント対象)には含まれない

これにより、失効した購読への配信を無駄にリトライすることなく、購読者一覧を実態に近い状態に保っています。

ブラウザへの Push 配信は Web Push プロトコル(RFC 8291 暗号化、RFC 8188 メッセージエンコーディング、RFC 8292 VAPID)に基づいています。todoke ではこれらを自前実装しており、一般的な Node.js 向け web-push ライブラリには依存していません(Cloudflare Workers ランタイムの Web Crypto API と互換性を持たせるためです)。

利用者として意識する必要があるのは、主に次の2つの概念です。

ブラウザの Push API から取得できる購読情報で、次の3つの値からなります。

フィールド説明
endpoint配信先の Push サービス URL(ブラウザ・ベンダーごとに異なる)
p256dhペイロード暗号化に使う公開鍵
authペイロード暗号化に使う認証シークレット

この3つをセットで API に登録することで、todoke はそのブラウザ宛に暗号化された通知を送れるようになります。

VAPID(Voluntary Application Server Identification)は、Push サービスに対して「どのアプリケーションからの送信か」を証明する仕組みです。todoke はアプリ作成時にアプリごとの VAPID 鍵ペア(公開鍵・秘密鍵)を発行し、秘密鍵は暗号化して保存します。送信時にはこの鍵ペアで署名した JWT を各リクエストに付与し、Push サービスに送信元を証明します。

公開鍵はブラウザ側で購読を作成する際に必要になるため、GET /api/v1/vapid-public-key から取得できます。

Free プランには、購読者数と月間送信数に上限があります。これらは異なるタイミングでチェックされます。

制限チェックのタイミング上限(Free)
月間送信数通知の送信時(Queue への投入前)30,000 通
購読者数購読の登録時1,000 人

つまり、月間送信上限は POST /api/v1/notify のリクエストごとに、購読者数上限は新規購読を登録する POST /api/v1/apps/:appId/subscriptions のリクエスト時に、それぞれ独立してチェックされます。どちらを超過した場合もリクエストは拒否され、レスポンスにアップグレード導線(upgrade_url)が含まれます。詳細はエラーコード・制限値を参照してください。