Uso personalizzato dell'intestazione Autorizzazione in un'API REST

Utilizzare l'intestazione Autorizzazione sembra la cosa giusta da fare. È l'intero scopo dell'intestazione di autorizzazione.

Da link :

The "Authorization" header field allows a user agent to authenticate itself with an origin server -- usually, but not necessarily, after receiving a 401 (Unauthorized) response. Its value consists of credentials containing the authentication information of the user agent for the realm of the resource being requested.

Se hai il tuo schema di autenticazione, documentalo, ma non è necessario reinventare la ruota.

Non ti consiglierei di fare un uso non standard di un'intestazione HTTP standard. Principalmente perché può essere fuorviante per altri sviluppatori che sanno come l'intestazione Authoriziation debba essere utilizzata nell'autenticazione HTTP, ma anche per evitare potenziali problemi con altre parti dello stack con consapevolezza in conflitto della stessa intestazione della richiesta.

In ogni caso, non c'è nulla che ti impedisca di utilizzare un'intestazione X-Authorization-User personalizzata, non standard, specificamente per i tuoi scopi.