중앙에서 일관되게 적용
JWT 검증, CORS, 속도 제한, 요청 로그처럼 모든 API에 같은 기준이 필요한 책임입니다.
게이트웨이는 공통 정책을 모으고 도메인 규칙은 서비스에 남긴다
API Gateway가 모든 책임을 가져가면 병목과 결합이 커집니다. 인증, 라우팅, 요청 합성은 중앙에서 다루되 주문·사용자 규칙은 각 서비스가 소유합니다.
API Gateway에 둘 것과 서비스에 남길 것
클라이언트 화면에 맞춤
/api/users는 users-service로 보내고, 주문 상세는 orders와 users 응답을 합쳐 반환합니다.
서비스 내부에 유지
주문 생성 가능 여부, 사용자 상태 전환, 재고 차감 규칙은 각 마이크로서비스가 판단합니다.
게이트웨이 코드가 서비스 내부 데이터 모델을 너무 많이 알기 시작하면 변경 비용이 커집니다. 공유 계약은 proto와 DTO로 제한하고, 정책과 도메인 판단을 분리합니다.