Uso personalizado del encabezado de autorización en una API REST

Estoy construyendo una API REST donde los clientes se autentican usando certificados de cliente. Un cliente en este caso no es un usuario individual, sino una especie de capa de presentación. Los usuarios se autentican utilizando un enfoque personalizado y es responsabilidad de la capa de presentación asegurarse de que esto se realice correctamente (nota: sé que este no es el enfoque adecuado, pero la API no es pública).

Me gustaría pasar el nombre de usuario para cada solicitud (no la contraseña), pero no estoy seguro de dónde hacerlo. ¿Sería una buena idea usar el encabezado de autorización?

Usar el encabezado de autorización parece ser lo correcto. Es todo el propósito del encabezado de autorización.

De http://tools.ietf.org/html/rfc7235#section-4.2 :

El campo de encabezado "Autorización" permite que un agente de usuario se autentique con un servidor de origen, generalmente, pero no necesariamente, después de recibir una respuesta 401 (no autorizada). Su valor consiste en credenciales que contienen la información de autenticación del agente de usuario para el ámbito del recurso que se solicita.

Si tiene su propio esquema de autenticación, documente, pero no es necesario reinventar la rueda.

No recomendaría que haga un uso no estándar de un encabezado HTTP estándar. Principalmente porque puede ser engañoso para otros desarrolladores que saben cómo Authoriziationse debe usar el encabezado en la autenticación HTTP, pero también para evitar cualquier problema potencial con otras partes de su pila que tengan un conocimiento conflictivo del mismo encabezado de solicitud.

Cualquiera sea el caso, no hay nada que le impida utilizar un X-Authorization-Userencabezado personalizado, no estándar , específicamente para sus propósitos.