Вы можете поместить все, что вы хотите, в любой заголовок, который вам нравится. Вы можете создавать собственные заголовки. Таким образом, вы можете иметь заголовок App-Id, в который вы передаете appId. В качестве альтернативы вы можете передать их в качестве параметров в URL. Таким образом вы избавитесь от опции, что какой-то (глупый) прокси обрезает ваши заголовки.
Кстати, я бы посоветовал не отправлять пароль, если вы не используете https. Как правило, я могу порекомендовать два похожих сценария:
- use OAuth - разрешить пользователю предоставлять доступ к клиенту API через танец OAuth. Клиент получает токен, который он использует при каждом запросе.
- используйте настраиваемую упрощенную схему токена - войдите один раз (с именем пользователя и паролем, через https) и отправьте в ответ короткоживущий токен. Каждый последующий запрос может быть сделан через незащищенное соединение путем предоставления токена и (необязательно) некоторого HMAC параметров запроса, используя секретный ключ потребителя в качестве ключа, чтобы вы могли проверить, что клиент является действительным.