API Gateway
La porte d'entrée du système, chargée des préoccupations transversales telles que l'authentification, le routage et le contrôle du trafic.
Qu’est-ce qu’une API Gateway ?
C’est le composant qui reçoit les requêtes externes et agit comme point d’entrée unique ou principal vers l’écosystème backend.
Ce n’est pas l’endroit où réside la logique métier, mais celui où se résolvent les responsabilités transversales de bordure.
Responsabilités principales
Authentification et validation initiale
Par exemple, vérifier les JWT ou les jetons d’accès.
Routage
Envoyer chaque requête vers la destination correcte : BFF, service interne ou endpoint spécifique.
Rate limiting
Protéger le système contre les abus ou la surcharge.
CORS, TLS et politiques de bordure
Gérer les aspects techniques propres à la frontière du système.
Logging et corrélation
Générer ou propager le correlationId, enregistrer les requêtes et faciliter la traçabilité.
Ce qu’elle ne devrait pas faire
Elle ne devrait pas contenir de logique métier
Si la gateway commence à décider des règles fonctionnelles, elle cesse d’être une couche transversale et devient difficile à maintenir.
Elle ne devrait pas devenir un backend monolithique
Elle ne doit pas agréger des réponses complexes, transformer des DTO d’écran ou remplacer le BFF.
Elle ne devrait pas trop connaître le domaine
Elle doit savoir router et protéger, pas modéliser le métier.
Relation avec le BFF
Dans cette architecture, la gateway envoie généralement la majorité des requêtes au BFF, qui est celui qui adapte et orchestre.
Une façon simple de les distinguer est la suivante :
Gateway — Contrôle l’entrée, la sécurité de bordure et le routage.
BFF — Adapte la réponse au frontend et compose les données métier.
Bénéfices
- Centralise les préoccupations transversales
- Simplifie l’accès depuis le frontend
- Améliore le contrôle et la sécurité
- Facilite l’observabilité en entrée
- Découple le client et le backend interne
Risques en cas de mauvaise utilisation
- Logique métier à la bordure
- Excès de configuration difficile à gouverner
- Couplage avec les détails du domaine
- Gateway trop « intelligente »
Technologies courantes
- Kong
- AWS API Gateway
- Express Gateway
- NGINX avec plugins
- Solutions cloud d’edge/API management
Exemple pratique
Lorsqu’un utilisateur authentifié demande à consulter son profil :
- Le frontend appelle la gateway
- La gateway valide le jeton
- Elle applique les politiques de base
- Elle route vers le BFF
- Elle propage le contexte et la corrélation
Elle ne construit pas la réponse finale du profil ; elle permet seulement à la requête d’entrer correctement dans le système.
Résumé
L’API Gateway est la porte d’entrée du système. Sa valeur réside dans la centralisation de l’authentification, du routage et des politiques de bordure, et non dans le fait de devenir le cerveau fonctionnel de l’application.