¿Hay algún problema con el uso del mismo nombre de usuario para todos los usuarios de API con autenticación básica HTTP?

Se utiliza para facilitar el uso de la funcionalidad de Autenticación Básica, Autentificación Básica requiere que envíe un nombre de usuario también ( rfc2617 ):

  

El esquema de autenticación "básico" se basa en el modelo que el cliente debe autenticarse con un ID de usuario y una contraseña para cada dominio.

En el caso de MailGun, solo usan el token de API para identificar al usuario (que es lo que normalmente hace un nombre de usuario) así como para autenticar a ese usuario (contraseña).

Podrían haber usado un encabezado personalizado, pero es probable (o, posiblemente) más fácil de usar la autenticación básica para poder reutilizar la funcionalidad existente con clientes heredados.

Tener solo un nombre de usuario potencialmente hace que sea mucho más fácil para alguien obtener acceso no autorizado. Tener nombres de usuario separados significa que solo hay un token válido por nombre de usuario. Si todos usan el mismo nombre de usuario, hay varios tokens que son válidos. El usuario no autorizado solo tiene que adivinar uno de ellos. No sugiero hacer esto, especialmente si la API proporciona acceso a cualquier tipo de datos confidenciales, o realiza un seguimiento de cualquier cosa relacionada con una cuenta específica.