我有两个系统需要谈谈。系统设置如下：

System A，在googleappengine（GAE）上运行Django（python2.5）

System B，通过Lighttpd在Ubuntu/Linux上运行Django（python2.6）（稍后可能是nginx）

系统A将使用Url Fetch定期对系统B发出请求（“请求”）。在

System B有一个Django应用程序设置，可以使用urls.py来监听这些请求，如下所示：

urlpatterns = patterns('producer.views',
    url(r'^requisition$', 'requisition', name='requisition'),
)

以及相应的views.py类似于：

如果系统B只响应来自系统a的请求，这将是对系统安全性的一个有价值的补充

我想知道系统B有哪些选项可以用来验证请求是否来自系统A。我考虑了以下几点：

• IP地址可能是伪造的（我可能不知道是怎么改的）
• 检查IP的反向DNS是否来自GAE（但是我不知道GAE的DNS条目是什么，如果它们会更改，它们可能会被欺骗）
• 使用来自SystemA的TLS客户端证书-但我不知道如何使用GAE
• 根据共享的内容（如salt）与pycrypto进行挑战/响应

理想情况下，我希望以views.py的方式结束：

... 
from django.http import HttpResponseForbidden 

def requisition(request):
   " do something "
  if not verify_request_origin():
     return HttpResponseForbidden("Denied.")

  response = HttpResponse()
  ...

其中，当对System B的请求来自GAE上的System A时，verify_request_origin（）返回true。在

谢谢你，我期待听到你的想法。在