API Gateway

A porta de entrada do sistema, responsável por preocupações transversais como autenticação, roteamento e controle de tráfego.

O que é um API Gateway?

É o componente que recebe as requisições externas e atua como ponto de entrada único ou principal para o ecossistema backend.

Não é o lugar onde vive a lógica de negócio, mas sim onde se resolvem responsabilidades transversais de borda.

Responsabilidades principais

Autenticação e validação inicial

Por exemplo, verificar JWTs ou tokens de acesso.

Roteamento

Enviar cada request ao destino correto: BFF, serviço interno ou endpoint específico.

Rate limiting

Proteger o sistema contra abuso ou sobrecarga.

CORS, TLS e políticas de borda

Lidar com aspectos técnicos próprios da fronteira do sistema.

Logging e correlação

Gerar ou propagar correlationId, registrar requests e facilitar a rastreabilidade.

O que não deveria fazer

Não deveria conter lógica de negócio

Se o gateway começa a decidir regras funcionais, deixa de ser uma camada transversal e se torna difícil de manter.

Não deveria se tornar um backend monolítico

Não deve agregar respostas complexas, transformar DTOs de tela ou substituir o BFF.

Não deveria conhecer demais o domínio

Deve saber rotear e proteger, não modelar o negócio.

Relação com o BFF

Nesta arquitetura, o gateway normalmente envia a maioria dos requests ao BFF, que é quem adapta e orquestra.

Uma forma simples de distingui-los é:

Gateway — Controla a entrada, a segurança de borda e o roteamento.

BFF — Adapta a resposta ao frontend e compõe dados de negócio.

Benefícios

  • Centraliza preocupações transversais
  • Simplifica o acesso a partir do frontend
  • Melhora o controle e a segurança
  • Facilita a observabilidade de entrada
  • Desacopla cliente e backend interno

Riscos se usado incorretamente

  • Lógica de negócio na borda
  • Excesso de configuração difícil de governar
  • Acoplamento com detalhes do domínio
  • Gateway “inteligente” demais

Tecnologias comuns

  • Kong
  • AWS API Gateway
  • Express Gateway
  • NGINX com plugins
  • Soluções cloud de edge/API management

Exemplo prático

Quando um usuário autenticado solicita ver seu perfil:

  1. O frontend chama o gateway
  2. O gateway valida o token
  3. Aplica políticas básicas
  4. Roteia para o BFF
  5. Propaga contexto e correlação

Não monta a resposta final do perfil; apenas permite que o request entre corretamente no sistema.

Resumo

O API Gateway é a porta de entrada do sistema. Seu valor está em centralizar autenticação, roteamento e políticas de borda, não em se tornar o cérebro funcional da aplicação.