asp.net – 寻找RESTful API的身份验证/模拟策略

我可以创建一个端点来开始和结束模拟.开始模拟可能涉及获取用户及其权限并将其加载到内存中以获取当前请求,这很容易.后续请求呢？添加指示“模拟用户”的HTTP标头是不好的做法吗？如果该标头存在,请使用它来对后续请求进行授权？如何在UserId中使用cookie？还是其他信息？

是否有额外的好处(假设.NET impl)将模拟用户分配给Thread.CurrentPrincipal？当前的权限和角色实现是自定义的,实际上是使用位数组(尽管将来会在表中进行更改).