Je construis une API REST où les clients sont authentifiés à l'aide de certificats clients. Dans ce cas, un client n'est pas un utilisateur individuel, mais une sorte de couche de présentation. Les utilisateurs sont authentifiés en utilisant une approche personnalisée et il est de la responsabilité de la couche de présentation de voir que cela est correctement fait (note: je sais que ce n'est pas la bonne approche, mais l'API n'est pas publique).
Je voudrais transmettre le nom d'utilisateur pour chaque demande (pas le mot de passe), mais je ne sais pas où le faire. Serait-ce une bonne idée d'utiliser l'en-tête d'autorisation?