Sto costruendo una API REST in cui i client sono autenticati utilizzando i certificati client. In questo caso, un client non è un singolo utente, ma una specie di livello di presentazione. Gli utenti sono autenticati usando un approccio personalizzato ed è responsabilità del livello di presentazione verificare che questo sia fatto correttamente (nota: so che questo non è l'approccio corretto, ma l'API non è pubblica).
Vorrei passare il nome utente per ogni richiesta (non la password), ma non sono sicuro di dove farlo. Sarebbe una buona idea usare l'intestazione Autorizzazione?