Uso personalizzato dell'intestazione di autorizzazione in un'API REST

Sto creando un API REST in cui i client vengono autenticati utilizzando i certificati client. Un client in questo caso non è un singolo utente, ma una sorta di livello di presentazione. Gli utenti vengono autenticati utilizzando un approccio personalizzato ed è responsabilità del livello di presentazione verificare che ciò avvenga correttamente (nota: so che questo non è l'approccio corretto, ma l'API non è pubblica).

Vorrei passare il nome utente per ogni richiesta (non la password), ma non sono sicuro di dove farlo. Sarebbe una buona idea usare l'intestazione dell'autorizzazione?

L'uso dell'intestazione di autorizzazione sembra la cosa giusta da fare. È l'intero scopo dell'intestazione dell'autorizzazione.

Da http://tools.ietf.org/html/rfc7235#section-4.2 :

Il campo di intestazione "Autorizzazione" consente a un agente utente di autenticarsi con un server di origine, in genere, ma non necessariamente, dopo aver ricevuto una risposta 401 (non autorizzata). Il suo valore è costituito da credenziali contenenti le informazioni di autenticazione dell'agente utente per il regno della risorsa richiesta.

Se hai il tuo schema di autenticazione, documentalo, ma non è necessario reinventare la ruota.

Non consiglierei di fare un uso non standard di un'intestazione HTTP standard. Principalmente perché può essere fuorviante per altri sviluppatori che sanno come Authoriziationusare l' intestazione nell'autenticazione HTTP, ma anche per evitare potenziali problemi con altre parti dello stack che hanno una conoscenza contrastante della stessa intestazione della richiesta.

In ogni caso, non c'è nulla che ti impedisca di utilizzare X-Authorization-Userun'intestazione personalizzata, non standard , specificamente per i tuoi scopi.