Sto creando un API REST in cui i client vengono autenticati utilizzando i certificati client. Un client in questo caso non è un singolo utente, ma una sorta di livello di presentazione. Gli utenti vengono autenticati utilizzando un approccio personalizzato ed è responsabilità del livello di presentazione verificare che ciò avvenga correttamente (nota: so che questo non è l'approccio corretto, ma l'API non è pubblica).
Vorrei passare il nome utente per ogni richiesta (non la password), ma non sono sicuro di dove farlo. Sarebbe una buona idea usare l'intestazione dell'autorizzazione?