Что делать, если сервис не видит в запросе заголовок Authorization?

Довелось мне как-то раз (и даже не раз) писать backend на фреймворке yii2, разработкой фронтенда занимался другой человек. Итак, написали, залили на тестовый сервер, который работал по http, протестировали - всё работает. Пришло время переносить на боевой сервер (https) к заказчику. Перенесли, настроили работу CORS (backend и frontend лежат на разных доменах), запросы, не требующие авторизации, работают без проблем, а авторизация не работает - до сервера не доходит заголовок Authorization, хотя в запросе он есть.

Потратили несколько часов, пока не нашли простое решение: всего лишь одна строчка в .htaccess

SetEnvIf Authorization .+ HTTP_AUTHORIZATION=$0

решила эту проблему.