Пользовательское использование заголовка авторизации в REST API

Я создаю REST API, где клиенты проходят проверку подлинности с использованием клиентских сертификатов. Клиент в этом случае - это не отдельный пользователь, а своего рода уровень представления. Аутентификация пользователей осуществляется с использованием нестандартного подхода, и уровень представления отвечает за то, чтобы это было сделано правильно (примечание: я знаю, что это неправильный подход, но API не является общедоступным).

Я хотел бы передать имя пользователя для каждого запроса (не пароль), но я не уверен, где это сделать. Будет ли хорошей идеей использовать заголовок авторизации?

Использование заголовка авторизации кажется правильным. Это вся цель заголовка авторизации.

С http://tools.ietf.org/html/rfc7235#section-4.2 :

Поле заголовка «Авторизация» позволяет агенту пользователя аутентифицироваться на сервере происхождения - обычно, но не обязательно, после получения ответа 401 (Несанкционированный). Его значение состоит из учетных данных, содержащих информацию об аутентификации агента пользователя для области запрашиваемого ресурса.

Если у вас есть собственная схема аутентификации, запишите это, но нет необходимости заново изобретать колесо.

Я не рекомендовал бы использовать нестандартное использование стандартного заголовка HTTP. В первую очередь потому, что это может вводить в заблуждение других разработчиков, которые знают, как Authoriziationпредполагается использовать заголовок в HTTP-аутентификации, но также избегают любых потенциальных проблем с другими частями вашего стека, имеющими противоречивую информацию об одном и том же заголовке запроса.

В любом случае, ничто не мешает вам использовать нестандартный нестандартный X-Authorization-Userзаголовок специально для ваших целей.