Если вам необходимо добавить пользовательский заголовок к вашему запросу, см. Пользовательские заголовки HTTP: соглашения об именах
При этом я не вижу причин для выбора клиентомалгоритм подписи.Выбор подписи должен решаться сервисом, который ее выпустил, и должен зависеть от компромиссов безопасности, приемлемых для этой услуги.
API, принимающие этот токен, должны иметь возможность проверить подпись этого токена.Таким образом, именно API, использующие этот токен, должны иметь возможность принимать тот же алгоритм шифрования и иметь доступ к соответствующим открытым ключам (или общим секретам), которые использовались при выдаче токена.
Если содержимое токена(полезная нагрузка) полезна для посредников, ее можно декодировать (base64), не зная об алгоритме шифрования, используемом для подписи ключа.
Если токен выдан для сторонней службы (например, в oauth2)протокол), токен должен быть непрозрачным для актеров такого типа.