Eu estava pensando se é aceitável colocar dados personalizados em um cabeçalho de autorização HTTP. Estamos projetando uma API RESTful e podemos precisar de uma maneira de especificar um método personalizado de autorização. Como exemplo, vamos chamá-loFIRE-TOKEN autenticação.

Algo assim seria válido e permitido de acordo com as especificações:Authorization: FIRE-TOKEN 0PN5J17HBGZHT7JJ3X82:frJIUN8DYpKDtOLCwo//yllqDzg=

A primeira parte da segunda string (antes de ':') é a chave da API, a segunda parte é um hash da string de consult