Utilisation personnalisée de l'en-tête d'autorisation dans une API REST

Je construis une API REST où les clients sont authentifiés à l'aide de certificats clients. Dans ce cas, un client n'est pas un utilisateur individuel, mais une sorte de couche de présentation. Les utilisateurs sont authentifiés en utilisant une approche personnalisée et il est de la responsabilité de la couche de présentation de voir que cela est correctement fait (note: je sais que ce n'est pas la bonne approche, mais l'API n'est pas publique).

Je voudrais transmettre le nom d'utilisateur pour chaque demande (pas le mot de passe), mais je ne sais pas où le faire. Serait-ce une bonne idée d'utiliser l'en-tête d'autorisation?

Utiliser l'en-tête d'autorisation semble être la bonne chose à faire. C'est tout le but de l'en-tête d'autorisation.

Sur http://tools.ietf.org/html/rfc7235#section-4.2 :

Le champ d'en-tête "Autorisation" permet à un agent utilisateur de s'authentifier auprès d'un serveur d'origine - généralement, mais pas nécessairement, après avoir reçu une réponse 401 (non autorisée). Sa valeur consiste en des informations d'identification contenant les informations d'authentification de l'agent utilisateur pour le domaine de la ressource demandée.

Si vous avez votre propre schéma d'authentification, documentez-le, mais il n'est pas nécessaire de réinventer la roue.

Je ne vous recommanderais pas d'utiliser de manière non standard un en-tête HTTP standard. Principalement parce qu'il peut être trompeur pour d'autres développeurs qui savent comment l'en- Authoriziationtête est destiné à être utilisé dans l'authentification HTTP, mais aussi pour éviter tout problème potentiel avec d'autres parties de votre pile ayant une connaissance conflictuelle du même en-tête de demande.

Quoi qu'il en soit, rien ne vous empêche d'utiliser un en- X-Authorization-Usertête personnalisé et non standard , spécialement pour vos besoins.