Несколько схем аутентификации для HTTP-заголовка «Авторизация»

Для нашего пользователя api нам нужны два стиля аутентификации:

• аутентифицировать пользователя api (мобильное устройство, интеграция с партнерами)
• аутентифицируют конкретного «обычного» пользователя, которому принадлежат данные на нашей стороне

Стандартный запрос и ответ обрабатываются с помощью заголовков WWW-Authenticate и Авторизация . Я хочу использовать это повторно.

У меня есть следующий вариант использования:На первом уровне мы аутентифицируем api-пользователя (например, мобильное устройство), для некоторых api-действий нам также необходимо аутентифицировать пользователя (например, пользователя мобильного устройства). Итак, у нас есть особый случай, когда нам нужны две схемы аутентификации "одновременно".

Глядя на http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html , я не вижу что возможно наличие двух разных схем внутри одного заголовка «Авторизация».

// I just made up delimiter ';'
Authorization: Digest .... ; CustomXXX ...

Я прав, если да, есть ли альтернатива?