Uso customizado do cabeçalho de autorização em uma API REST

Estou criando uma API REST em que os clientes são autenticados usando certificados de cliente. Um cliente nesse caso não é um usuário individual, mas algum tipo de camada de apresentação. Os usuários são autenticados usando uma abordagem personalizada e é responsabilidade da camada de apresentação verificar se isso é feito corretamente (nota: eu sei que essa não é a abordagem correta, mas a API não é pública).

Gostaria de passar o nome de usuário para cada solicitação (não a senha), mas não tenho certeza de onde fazer isso. Seria uma boa ideia usar o cabeçalho de autorização?

Usar o cabeçalho de autorização parece ser a coisa certa a fazer. É todo o objetivo do cabeçalho da autorização.

Em http://tools.ietf.org/html/rfc7235#section-4.2 :

O campo de cabeçalho "Autorização" permite que um agente do usuário se autentique com um servidor de origem - geralmente, mas não necessariamente, após receber uma resposta 401 (Não autorizada). Seu valor consiste em credenciais que contêm as informações de autenticação do agente do usuário para a região do recurso que está sendo solicitado.

Se você possui seu próprio esquema de autenticação, documente, mas não há necessidade de reinventar a roda.

Eu não recomendaria que você fizesse uso fora do padrão de um cabeçalho HTTP padrão. Principalmente porque pode ser enganoso para outros desenvolvedores que sabem como o Authoriziationcabeçalho deve ser usado na autenticação HTTP, mas também para evitar possíveis problemas com outras partes da sua pilha com conhecimento conflitante do mesmo cabeçalho de solicitação.

Seja qual for o caso, não há nada que impeça o uso de um X-Authorization-Usercabeçalho personalizado e não padrão , especificamente para seus propósitos.