Niestandardowe użycie nagłówka autoryzacji w interfejsie API REST

Buduję interfejs REST, w którym klienci są uwierzytelniani przy użyciu certyfikatów klienta. Klient w tym przypadku nie jest indywidualnym użytkownikiem, ale jakąś warstwą prezentacji. Użytkownicy są uwierzytelniani przy użyciu niestandardowego podejścia, a warstwa prezentacji odpowiada za prawidłowe wykonanie (uwaga: wiem, że to nie jest właściwe podejście, ale interfejs API nie jest publiczny).

Chciałbym przekazać nazwę użytkownika dla każdego żądania (nie hasło), ale nie jestem pewien, gdzie to zrobić. Czy dobrym pomysłem byłoby użycie nagłówka Autoryzacja?

Użycie nagłówka Autoryzacja wydaje się właściwą rzeczą. To jest cały cel nagłówka autoryzacji.

From http://tools.ietf.org/html/rfc7235#section-4.2 :

Pole nagłówka „Autoryzacja” umożliwia agentowi użytkownika uwierzytelnienie się na serwerze źródłowym - zwykle, ale niekoniecznie, po otrzymaniu odpowiedzi 401 (nieautoryzowane). Jego wartość składa się z poświadczeń zawierających informacje uwierzytelniające agenta użytkownika dla dziedziny żądanego zasobu.

Jeśli masz własny dokument uwierzytelniający, udokumentuj go, ale nie musisz wymyślać koła ponownie.

Nie polecam niestandardowego użycia standardowego nagłówka HTTP. Przede wszystkim dlatego, że może wprowadzać w błąd innych programistów, którzy wiedzą, w jaki sposób Authoriziationnagłówek ma być wykorzystywany w uwierzytelnianiu HTTP, ale także w celu uniknięcia potencjalnych problemów z innymi częściami stosu posiadającymi sprzeczną świadomość tego samego nagłówka żądania.

W każdym razie nic nie stoi na przeszkodzie, aby użyć niestandardowego, niestandardowego X-Authorization-Usernagłówka, specjalnie do swoich celów.