Benachrichtigungen

Orimora benachrichtigt dich, wenn Teammitglieder mit Inhalten interagieren, die dir wichtig sind — ein von dir verfasstes Dokument wird aktualisiert, jemand antwortet auf deinen Kommentar, eine Einladung wird angenommen und mehr. Zugestellt wird über bis zu drei unabhängige Kanäle.

Der Benachrichtigungs-Feed

Die Glocke in der Topbar zeigt ein Ungelesen-Badge und die neuesten Einträge; die dedizierte Seite /notifications listet den vollständigen Verlauf mit einem alle / ungelesen-Filter. Jeder Eintrag verlinkt direkt auf das auslösende Dokument, den Kommentar oder die Sammlung. Einen als gelesen markieren (oder alle als gelesen) leert das Badge.

Kanäle

Kanal	Wo er erscheint
In-App	Der Glocken-Feed und die /notifications-Seite
E-Mail	Zustellung über deinen konfigurierten SMTP-Server
Web-Push	OS-weite Push-Benachrichtigung an abonnierte Browser/Geräte (PWA)

Die drei Kanäle sind unabhängig: Einen abzuschalten beeinflusst die anderen nicht. Konfiguration unter Einstellungen → Benachrichtigungen.

Schalter	Wirkung
In-App	Einen Glocken-Feed-Eintrag schreiben
E-Mail	Eine E-Mail senden
Push (Web-Push)	Eine Web-Push-Benachrichtigung senden (pro Konto, s. u.)

Web-Push

Web-Push stellt Benachrichtigungen zu, auch wenn Orimora nicht geöffnet ist, über die Push-API des Browsers.

1. Pro Gerät: Beim ersten Aktivieren von Push in einem Browser erteilst du die Benachrichtigungs-Berechtigung und der Browser registriert ein Abo. Jeder Browser/jedes Gerät ist ein eigenes Abo — aktiviere es auf jedem Gerät, das du nutzen willst.
2. Pro Konto: Der Push-Schalter unter Einstellungen → Benachrichtigungen ist ein kontoweiter Schalter. Ist er aus, erhält kein Gerät Push, unabhängig von seinem Abo.

Web-Push einrichten (VAPID-Schlüssel)

Web-Push erfordert, dass der Server jede Nachricht mit einem VAPID-Schlüsselpaar signiert (Voluntary Application Server Identification, RFC 8292). Die Schlüssel weisen deinen Orimora-Server gegenüber den Push-Diensten der Browser aus (Mozilla autopush, Google FCM, Microsoft WNS, Apple), damit diese deine Nachrichten akzeptieren. Solange nicht alle drei Variablen unten gesetzt sind, ist der Push-Kanal stillschweigend deaktiviert — der kontoweite Schalter und der gerätbezogene Aktivieren-Button bleiben wirkungslos, und die API meldet den Kanal als nicht verfügbar.

Achtung

VAPID_PRIVATE_KEY ist ein Server-Geheimnis — er signiert deine Push-Anfragen. Niemals committen und niemals an den Browser ausliefern (nur der öffentliche Schlüssel geht an Clients). Beachte: Apple unterstützt Web-Push für installierte PWAs nicht, unabhängig vom VAPID-Setup.

Die drei Variablen

Variable	Zweck
VAPID_PUBLIC_KEY	Base64url-öffentlicher Schlüssel (~87 Zeichen). Wird dem Browser beim Abonnieren als applicationServerKey übergeben. Darf offengelegt werden.
VAPID_PRIVATE_KEY	Base64url-privater Schlüssel (~43 Zeichen). Geheim — signiert jeden ausgehenden Push.
VAPID_SUBJECT	Eine Kontakt-URI für deinen Server: entweder mailto:du@example.com oder https://deine-domain.example. Push-Dienste nutzen sie als Kontakt; manche lehnen einen fehlenden/ungültigen Wert ab.

Der öffentliche und der private Schlüssel sind ein zusammengehöriges Paar — gemeinsam erzeugen, einmal pro Deployment, und stabil halten (siehe Schlüssel rotieren).

Schlüsselpaar erzeugen

Empfohlen — das mitgelieferte Skript (offline, keine Installation nötig; nutzt die projekteigene web-push-Abhängigkeit):

node scripts/generate-vapid-keys.mjs

Es gibt fertig einfügbare .env-Zeilen aus.

Alternative — die web-push-CLI:

npx web-push generate-vapid-keys

Online-Generatoren (bequem, ohne lokale Werkzeuge): browserbasierte Tools wie vapidkeys.com oder Googles Web Push Codelab.

Achtung

Erzeuge das Paar bevorzugt lokal mit einem der Befehle oben — ein privater Schlüssel, der von einer fremden Website eingefügt wurde, hat (wenn auch kurz) deine Kontrolle verlassen. Falls du einen Online-Generator nutzen musst, nur HTTPS-Tools verwenden und vor dem Produktivbetrieb auf einen lokal erzeugten Schlüssel rotieren.

Setzen und anwenden

Füge die Werte in deine .env (oder deinen Secrets-Manager) ein und starte die App neu:

VAPID_PUBLIC_KEY=BMxxxxxxxx…            # öffentlich — darf offengelegt werden
VAPID_PRIVATE_KEY=k3Fxxxxxxx…           # GEHEIM — serverseitig halten
VAPID_SUBJECT=mailto:admin@deine-domain.example

Auf Coolify alle drei als Runtime-Umgebungsvariablen anlegen und Force Rebuild (nicht nur Restart) — siehe Coolify.

Verifizieren

Öffne Einstellungen → Benachrichtigungen. Mit gesetzten Schlüsseln wird der Push-Schalter wirksam; aktiviere Push auf dem Gerät und nutze dann Test senden, um eine synthetische Benachrichtigung an deine abonnierten Browser zuzustellen. Fehlen die Schlüssel, liefert Test senden einen „Web Push is not configured”-Fehler und der kontoweite Schalter bleibt wirkungslos.

Schlüssel rotieren

Das VAPID-Paar zu ersetzen macht alle bestehenden Browser-Abos ungültig — Nutzer müssen Web-Push danach auf jedem Gerät neu aktivieren. Rotiere nur, wenn der private Schlüssel kompromittiert sein könnte, und weise die Nutzer auf die Neu-Aktivierung hin. Die Schlüssel sind nicht an deine Domain gebunden, ein Domainwechsel erfordert also keine neuen Schlüssel.

Einzelne Ereignisse stummschalten

Unter Einstellungen → Benachrichtigungen → Bestimmte Ereignisse stummschalten kannst du einzelne Ereignistypen (z. B. Dokument aktualisiert, Mitglied beigetreten) über alle Kanäle stummschalten. Einen Typ stummzuschalten stoppt In-App, E-Mail und Push für diesen Typ, lässt die übrigen aktiv.

Ereignistypen umfassen Dokument aktualisiert / veröffentlicht / erwähnt, Sammlung aktualisiert, Einladung angenommen, Mitglied beigetreten, Pflichtdokument zugewiesen, neuer Kommentar / Kommentar-Antwort sowie Gamification-Ereignisse (Badge erhalten, Level-up, Streak-Meilenstein).

Externe Integrationen (Webhooks)

Jede In-App-Benachrichtigung löst zusätzlich ein notification.created-Ereignis auf dem Event-Bus des Teams aus, das an Webhooks weitergereicht werden kann (n8n, Zapier, Slack/Telegram-Bots, …). Siehe Webhooks — beachte das höhere Volumen dieses Ereignistyps.