我想知道在我的系统发送会话密钥的最佳选择。

在我的系统，还有所使用的网络浏览器，命令行界面和桌面应用程序的API服务器。 它通过查看验证用户Authorization HTTP标头。

目前，浏览器存储在localStorage的会话密钥和重视它在Authorization头用于需要登录请求。 然而，有人指出，存储机密信息，如会话密钥更安全的方法是使用HTTP的只有饼干。

问题是，Web浏览器客户端将无法读取仅HTTP Cookie，并把在HTTP头中的会话密钥。

鉴于这一情况，我想延伸到使用中的任何一个API服务器Authorzation头或cookie的用户进行授权。 这是一个可行的选择，以及是否有办法？

你说得对，饼干和授权头是不是开箱即用的兼容。 正如你指出，你正在寻找在两个用例：一个是浏览器使用，另一个API（CLI，桌面应用程序）。

如果你想通过一个单一的身份验证方案来支持，你将需要工作多一点。 作为一个好的经验法则，用浏览器cookie和它很容易将它设置安全工作。 您应该选择与浏览器基于Cookie的会话管理。

鉴于这一情况，我想延伸到使用授权页眉或饼干中的任何一个授权用户的API服务器。 这是一个可行的选择，以及是否有办法？

是的，这是可行的，它会使你的浏览器使用情况更安全。 作为替代方案，我把一个Web认证指南 ，这将极大地帮助你探索你的选择。