Non puoi aggiungere intestazioni personalizzate in questo modo.
Il modo stabilito per aggiungere un'autorizzazione specifica dell'utente è avere un cookie di sessione. Se tale cookie è impostato per l'URL di destinazione (ad esempio, l'utente è già autenticato rispetto alla destinazione), verrà inviato automaticamente all'interno della richiesta.
Se invece l'autorizzazione non è specifica per l'utente ma invece un token di accesso specifico per l'applicazione è possibile includerla nell'URL. Se non ti piace è parte dell'URL e quindi visibile nella cronologia potresti comportarti come nello scenario precedente con l'utente registrato e l'id della sessione basata su cookie. Solo tu puoi impostare il cookie da Javascript (nel caso di richiesta per lo stesso sito) o ottenere un cookie per il sito di destinazione automaticamente "loggando" con il tuo token di accesso usando XHR.
Ancora un altro modo è se la destinazione invia una richiesta di "autenticazione richiesta" (codice di stato 401) indietro con un'appropriata intestazione WWW-Authenticate
. In questo caso, il browser chiederà all'utente le credenziali di accesso e invierà queste con ogni richiesta al sito utilizzando l'intestazione Authorization
.