Звучит немного сомнительно для меня.Заголовок WWW-Authenticate
задается RFC , что, по-видимому, запрещает приведенный вами пример.Спецификация OAuth гласит, что вы можете включить другие поля WWW-Authenticate
, как определено в RFC, а не просто прикрепить произвольные строки к концу.Я бы избегал этого, если бы не было определенного поля, которое вы могли бы изменить в своих целях.