Почему бы не использовать стандартные методы HTTP-аутентификации вместо того, чтобы придумывать свои собственные?Если они недостаточны или уместны, добавьте свои учетные данные или информацию о билетах в пользовательский заголовок, а не загрязняйте его URI.
Ваши URI должны идентифицировать ваши ресурсы, не больше и не меньше.Добавление метаданных или контекстной информации в URI их загрязняет и усложняет развитие вашей системы, поскольку ваш механизм аутентификации будет напрямую и постоянно связан с вашими ресурсами.Вместо этого переместите ваш механизм аутентификации в заголовок HTTP, где он принадлежит.