Ich schreibe einen SOAP-Service mit einer grundlegenden Authentifizierung. Um zu entscheiden, ob der Verbraucher auf eine Ressource zugreifen darf, analysiere ich seine Anmeldeinformationen. Ich brauche aber noch ein paar zusätzliche Informationen: Die Firma, zu der der Benutzer (als Person) gehört.Wie werden zusätzliche Informationen zur Autorisierung mit HTTP Basic Auth übergeben?
Ein Benutzer kann mehreren Firmen angehören. So kann er z.B. Zugriff auf Dokumente wie my_document_xyz_a beim Einloggen als Mitarbeiter der Firma firm_A und Dokumente wie my_document_xyz_b beim Einloggen als Mitarbeiter der Firma firm_B.
Also ich/meine SOAP-Server benötigen/-s die Anmeldeinformationen (username und password) und den Firmennamen (oder Token).
Welcher HTTP-Header ist für diesen Zweck geeignet? Oder sollte ich einen benutzerdefinierten Header HTTP-Header verwenden?