Передача параметров в заголовке сообщения с помощью REST API

Я разрабатываю REST API, и мне нужно транспортировать криптограммы для аутентификации сообщения для каждого запроса в прикладном процессе (шифрование MAC из секретных ключей). Я думал о том, чтобы поместить их в заголовок сообщения, чтобы избежать добавления информации, не связанной с данными, в тело сообщения, которое содержит опубликованный / полученный объект (XML или JSON).

Это лучшая практика?

Могу ли я добавить в заголовок столько параметров, сколько захочу? Я читал, что должен ставить перед ними префикс «x-». Поведение этого параметра точно такое же, как у параметров Path или Query?

Я использую Jersey.

Спасибо за помощь.