게이트웨이는 외부 진입 정책을 모으는 경계다. 모든 업무 규칙을 끌어오는 서버가 아니다.
웹·모바일은 내부 서비스 주소를 몰라도 단일 API를 호출한다.
인증, 라우팅, 속도 제한, 응답 조합처럼 외부 경계에 가까운 정책을 처리한다.
users, orders, payments는 자기 데이터와 도메인 규칙을 최종 책임진다.
| 구분 | 게이트웨이에 둔다 | 서비스에 남긴다 | 주의할 신호 |
|---|---|---|---|
| 인증 | 토큰 검증, claim 전달, 공통 차단 | 도메인 권한의 최종 판단 | 게이트웨이만 믿고 내부 권한 검증을 생략함 |
| 라우팅 | URL, version, header 기반 대상 선택 | 주문·결제·사용자 규칙 | route map 변경이 모든 서비스 배포에 영향 |
| 응답 조합 | 화면 단위 aggregation, timeout, 부분 실패 | 원천 데이터의 소유권 | 느린 하위 서비스가 전체 응답을 붙잡음 |