Как я могу быть уверен, что HTTP-заголовки SiteMinder не были изменены?

Я совершенно не знаком с SiteMinder и SSO в целом. Я весь день копался на веб-сайте SO и CA в поисках простого примера и не смог его найти. Меня не волнует настройка или программирование SM или что-то в этом роде. Все это уже сделано кем-то другим. Я просто хочу адаптировать свое веб-приложение JS для использования SM для аутентификации.

Я понимаю, что SM добавит HTTP-заголовок с таким ключом, как SM_USER, который сообщит мне, кто является пользователем. Чего я не понимаю, так это того, что мешает кому-либо добавить этот заголовок самостоятельно и полностью обойти SM? Что мне нужно добавить в свой серверный код, чтобы убедиться, что SM_USER действительно получен от SM? Я предполагаю, что задействуются безопасные файлы cookie...