Я хочу настроить шлюз API таким образом, чтобы он принимал запросы только от мессенджера Facebook.
Я думаю, что это можно сделать и в WAF или Cloudfront, но я не уверен.
Сначала я думал об ограничении IP-адресов, но, вероятно, у Facebook их очень много. Тогда я подумал, что смогу аутентифицироваться, используя заголовок / тело почтового запроса, но это также может быть подделано.
Существует ли какой-либо стандартный метод проверки подлинности запросов?