Поместите ключ API в заголовки или URL-адрес

Я разрабатываю публичный API для данных моей компании. Мы хотим, чтобы разработчики приложений подписывались на ключ API, чтобы мы могли отслеживать использование и чрезмерное использование.

Поскольку API - это REST, я изначально решил поместить этот ключ в настраиваемый заголовок. Я видел, как это делают Google, Amazon и Yahoo. Мой босс, с другой стороны, считает, что API легче использовать, если ключ становится просто частью URL-адреса и т. Д. " http: //api.domain.tld/longapikey1234/resource ". Думаю, об этом можно что-то сказать, но это нарушает принцип URL-адреса как простого адреса того, что вы хотите, а не того, как и почему вы этого хотите.

Считаете ли вы логичным ввести ключ в URL? Или вам не нужно вручную устанавливать заголовки HTTP, если вы пишете простой интерфейс javascript для некоторых данных?