仅通过 IP 地址对客户端进行身份验证的 Web 应用程序是否会被利用？

Could a web app which authenticates a client only by IP address be exploited?

我的网络应用程序使用第 3 方工具来存储敏感数据，该工具能够通过回调发送事件 url（即，当某些内容发生变化时，它会向给定的 url).为了防止恶意请求，第 3 方工具建议检查请求的 IP 地址以确保它来自他们的服务器，但这似乎容易受到欺骗。

问题：

如果第 3 方应用程序通过互联网，那么您的支票将受到保护，免受 IP 欺骗，因为 3 way handshake cannot take place if the IP address is spoofed. (Discounting large scale attacks such as IP hijacking。）

如果第 3 方应用程序位于您本地网络中的另一台服务器上，则该网络上的其他用户只需将他们的本地 IP 设置为该应用程序的 IP 即可进行欺骗。

总结一下：

Could a web app which authenticates a client only by IP address be exploited?

否 - 如果该应用程序是基于互联网的，the risk of IP spoofing is very low。