Push 权限是留存契约，不是增长黑客按钮

为什么这件事重要

MDN 说明 Push API 允许 Web 应用在不处于前台、甚至未加载时接收服务器推送消息。对已安装 Web 应用来说，这是一条很强的留存通道。但它也提高了信任门槛，因为应用正在请求一种可以在当前访问之外打扰用户的能力。

发生了什么变化

Push 依赖 active service worker 和订阅 endpoint。MDN 明确提醒，push subscription endpoint 是 capability URL，需要保密；PushManager 的订阅流程也必须防范 CSRF/XSRF。这说明 push 不只是交互功能，也是安全和生命周期功能。

开发者应该检查什么

• 只有在用户已经体验到明确价值之后，才请求 push 权限。
• 在系统权限弹窗之前，先解释通知类型。
• 保护订阅 endpoint 和服务端订阅变更接口。
• 在应用内提供退订和通知偏好设置。
• 衡量高质量 opt-in，而不是只看授权率。

OpenPWA 的判断

OpenPWA 应该把 push 当成留存契约来评价。好的 listing 可以说明通知是交易型、内容型、协作型还是营销型。这样用户才能判断：安装这个应用会让设备更有用，还是只是更吵。

来源：

• MDN: Push API