Penggunaan khusus tajuk Otorisasi dalam API REST

Saya sedang membangun api REST di mana klien diautentikasi menggunakan sertifikat klien. Klien dalam hal ini bukan pengguna individu, tetapi semacam lapisan presentasi. Pengguna diautentikasi menggunakan pendekatan kustom dan itu adalah tanggung jawab lapisan presentasi untuk melihat bahwa ini dilakukan dengan benar (catatan: Saya tahu ini bukan pendekatan yang tepat, tetapi api bukan publik).

Saya ingin memberikan nama pengguna untuk setiap permintaan (bukan kata sandi), tetapi saya tidak yakin di mana harus melakukan ini. Apakah ide yang baik untuk menggunakan tajuk Otorisasi?

Menggunakan header Otorisasi sepertinya adalah hal yang benar untuk dilakukan. Ini adalah seluruh tujuan tajuk Otorisasi.

Dari http://tools.ietf.org/html/rfc7235#section-4.2 :

Kolom header "Otorisasi" memungkinkan agen pengguna untuk mengotentikasi dirinya dengan server asal - biasanya, tetapi tidak harus, setelah menerima respons 401 (Tidak Diotorisasi). Nilainya terdiri dari kredensial yang berisi informasi otentikasi agen pengguna untuk ranah sumber daya yang diminta.

Jika Anda memiliki dokumen auth skema Anda sendiri, tetapi tidak perlu menemukan kembali roda.

Saya tidak akan merekomendasikan agar Anda menggunakan header HTTP standar yang tidak standar. Terutama karena dapat menyesatkan pengembang lain yang mengetahui bagaimana Authoriziationtajuk dimaksudkan untuk digunakan dalam otentikasi HTTP, tetapi juga untuk menghindari kemungkinan masalah dengan bagian lain dari tumpukan Anda yang memiliki kesadaran yang bertentangan dengan tajuk permintaan yang sama.

Apa pun masalahnya, tidak ada yang mencegah Anda untuk menggunakan X-Authorization-Usertajuk khusus yang tidak standar , khusus untuk keperluan Anda.