Benutzerdefinierte Verwendung des Autorisierungsheaders in einer REST-API

Ich erstelle eine REST-API, in der Clients mithilfe von Clientzertifikaten authentifiziert werden. Ein Client ist in diesem Fall kein einzelner Benutzer, sondern eine Art Präsentationsebene. Benutzer werden mithilfe eines benutzerdefinierten Ansatzes authentifiziert, und es liegt in der Verantwortung der Präsentationsebene, sicherzustellen, dass dies ordnungsgemäß durchgeführt wird (Hinweis: Ich weiß, dass dies nicht der richtige Ansatz ist, aber die API ist nicht öffentlich).

Ich möchte den Benutzernamen für jede Anfrage übergeben (nicht das Passwort), bin mir aber nicht sicher, wo ich das tun soll. Wäre es eine gute Idee, den Authorization-Header zu verwenden?

Die Verwendung des Authorization-Headers scheint das Richtige zu sein. Dies ist der gesamte Zweck des Autorisierungsheaders.

Von http://tools.ietf.org/html/rfc7235#section-4.2 :

Das Headerfeld "Autorisierung" ermöglicht es einem Benutzeragenten, sich bei einem Ursprungsserver zu authentifizieren - normalerweise, aber nicht unbedingt, nachdem er eine 401-Antwort (nicht autorisiert) erhalten hat. Sein Wert besteht aus Anmeldeinformationen, die die Authentifizierungsinformationen des Benutzeragenten für den Bereich der angeforderten Ressource enthalten.

Wenn Sie ein eigenes Authentifizierungsschema haben, dokumentieren Sie es, aber Sie müssen das Rad nicht neu erfinden.

Ich würde nicht empfehlen, dass Sie einen Standard-HTTP-Header nicht standardmäßig verwenden. In erster Linie, weil dies für andere Entwickler irreführend sein kann, die wissen, wie der AuthoriziationHeader für die HTTP-Authentifizierung verwendet werden soll, aber auch, um potenzielle Probleme mit anderen Teilen Ihres Stacks zu vermeiden, bei denen die Kenntnis des gleichen Anforderungsheaders widersprüchlich ist.

In jedem Fall hindert Sie nichts daran, einen benutzerdefinierten, nicht standardmäßigen X-Authorization-UserHeader speziell für Ihre Zwecke zu verwenden.