Ich schreibe einen SOAP-Service mit einer grundlegenden Authentifizierung. Um zu entscheiden, ob der Verbraucher auf eine Ressource zugreifen darf, analysiere ich seine Anmeldeinformationen. Ich brauche aber noch ein paar zusätzliche Informationen: Die Firma, zu der der Benutzer (als Person) gehört.Wie werden zusätzliche Informationen zur Autorisierung mit HTTP Basic Auth übergeben?
Ein Benutzer kann mehreren Firmen angehören. So kann er z.B. Zugriff auf Dokumente wie my_document_xyz_a
beim Einloggen als Mitarbeiter der Firma firm_A
und Dokumente wie my_document_xyz_b
beim Einloggen als Mitarbeiter der Firma firm_B
.
Also ich/meine SOAP-Server benötigen/-s die Anmeldeinformationen (username
und password
) und den Firmennamen (oder Token).
Welcher HTTP-Header ist für diesen Zweck geeignet? Oder sollte ich einen benutzerdefinierten Header HTTP-Header verwenden?