Для нашего пользователя api нам нужны два стиля аутентификации:
- аутентифицировать api-user (мобильное устройство, интеграция с партнерами)
- аутентифицировать определенного "нормального" пользователя, которому принадлежат данные на нашей стороне.
Стандартный вызов против ответа обрабатывается через заголовки WWW-Authenticate и Authorization. Я хочу повторно использовать это.
У меня есть следующий прецедент: на первом уровне мы аутентифицируем api-пользователя (например, мобильное устройство), для некоторых api-действий нам также необходимо аутентифицировать пользователя (например, пользователя мобильного устройства). Таким образом, у нас есть специальный случай, когда нам нужны две схемы аутентификации "сразу".
Глядя на http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html Я не вижу, что возможны две разные схемы внутри одного заголовка "Авторизация".
// I just made up delimiter ';'
Authorization: Digest .... ; CustomXXX ...
Правильно ли, если так есть альтернатива?