Sử dụng tùy chỉnh tiêu đề ủy quyền trong API REST

Tôi đang xây dựng một api REST nơi khách hàng được xác thực bằng chứng chỉ ứng dụng khách. Một khách hàng trong trường hợp này không phải là một người dùng cá nhân, mà là một loại lớp trình bày. Người dùng được xác thực bằng cách sử dụng một cách tiếp cận tùy chỉnh và trách nhiệm của lớp trình bày để thấy rằng điều này được thực hiện đúng (lưu ý: Tôi biết đây không phải là cách tiếp cận phù hợp, nhưng api không công khai).

Tôi muốn chuyển tên người dùng cho mỗi yêu cầu (không phải mật khẩu), nhưng tôi không chắc chắn nơi để thực hiện việc này. Nó sẽ là một ý tưởng tốt để sử dụng tiêu đề ủy quyền?

Sử dụng tiêu đề Ủy quyền có vẻ như là điều đúng đắn. Đó là toàn bộ mục đích của tiêu đề Ủy quyền.

Từ http://tools.ietf.org/html/rfc7235#section-4.2 :

Trường tiêu đề "Ủy quyền" cho phép tác nhân người dùng tự xác thực với máy chủ gốc - thông thường, nhưng không nhất thiết, sau khi nhận được phản hồi 401 (Không được phép). Giá trị của nó bao gồm các thông tin chứa thông tin xác thực của tác nhân người dùng cho lĩnh vực tài nguyên được yêu cầu.

Nếu bạn có tài liệu lược đồ xác thực của riêng mình, nhưng không cần phải phát minh lại bánh xe.

Tôi không khuyên bạn nên sử dụng tiêu đề HTTP tiêu chuẩn. Chủ yếu bởi vì nó có thể gây hiểu lầm cho các nhà phát triển khác biết Authoriziationtiêu đề được sử dụng như thế nào trong xác thực HTTP, nhưng cũng để tránh mọi vấn đề tiềm ẩn với các phần khác trong ngăn xếp của bạn có nhận thức mâu thuẫn về cùng tiêu đề yêu cầu.

Dù thế nào đi nữa, không có gì ngăn cản bạn sử dụng một tiêu X-Authorization-Userđề tùy chỉnh, không chuẩn , đặc biệt cho mục đích của bạn.