Как проверить, что запрос обработчика post-receive действительно поступил из github?

Github предлагает способ сообщить URL-адресу, когда проект был обновлен с помощью веб-перехватчиков.

Как мне проверить, что сообщение, отправленное на обработчик post-receive моего сервера, действительно пришло с github?

Должен ли я проверить IP-адрес отправителя или я могу куда-нибудь отправить проверку аутентификации? Я хочу убедиться, что кто-то не пытается подделать запрос, выдавая себя за github.

Один из вариантов - настроить перехватчик через PubSubHubbub и использовать параметр hub.secret для создания подписи SHA1 HMAC тела сообщения. Однако это потребует от моего сервера настройки запроса, а не ожидания, пока пользователи настроят обратный вызов после получения для моего сайта, когда они захотят. Я бы предпочел просто попросить пользователей вставить URL-адрес, который я им даю, в URL-адрес сообщения.