Користувацьке використання заголовка авторизації в API REST

Я будую REST api, де клієнти аутентифікуються за допомогою клієнтських сертифікатів. Клієнт у цьому випадку - це не індивідуальний користувач, а якийсь шар презентації. Користувачі аутентифікуються за допомогою користувацького підходу, і відповідальність шару презентації є переконатися, що це правильно зроблено (зауважте: я знаю, що це не правильний підхід, але api не є загальнодоступним).

Я хотів би передати ім’я користувача для кожного запиту (не пароль), але я не знаю, де це зробити. Було б корисно використовувати заголовок Авторизація?

Використання заголовка Авторизація здається правильним. Це все призначення заголовка авторизації.

З http://tools.ietf.org/html/rfc7235#section-4.2 :

Поле заголовка "Авторизація" дозволяє агенту користувача автентифікувати себе на сервері походження - зазвичай, але не обов'язково, після отримання відповіді 401 (Несанкціонований). Його значення складається з облікових даних, що містять інформацію про автентифікацію агента користувача для сфери запитуваного ресурсу.

Якщо у вас є власна схема авторства, документуйте її, але не потрібно винаходити колесо.

Я б не рекомендував використовувати стандартний HTTP-заголовок нестандартно. Передусім тому, що це може ввести в оману інших розробників, які знають, як Authoriziationзаголовок призначений для використання в аутентифікації HTTP, але також щоб уникнути будь-яких можливих проблем з іншими частинами вашого стека, що мають суперечливу обізнаність з тим же заголовком запиту.

У будь-якому випадку, ніщо не заважає використовувати спеціальний нестандартний X-Authorization-Userзаголовок спеціально для ваших цілей.