我们开发了一个集成了第三方服务的Web应用程序，其中一个集成是第三方服务调用我们的API服务器来更新一些状态（类似于支付网关）。
最初，服务器上的API没有身份验证，因此我们认为应该进行一些检查来验证回调是否可信。
第三方服务已经完成了我们的项目，拒绝修改他们的代码，而且他们的服务器有动态IP，所以我们无法通过IP加入白名单。他们的工程师建议我们将他们的主机名加入白名单。
我们已经考虑过获取源IP和反向DNS。这种方法仅在某些情况下有效，并且不起作用，例如云VM的自定义域。解析的主机名将是VM的主机名，而不是自定义域。
他们的工程师听起来这是一个常见的做法和容易实现，我们错过了什么？我们有完全控制的防火墙，DNS记录和API代码在我们这边。