API-gateway vs BFF: leer hoe elk patroon versiebeheer, performance en de scheiding tussen publieke en interne endpoints beïnvloedt voor web- en mobiele apps.
Een veelvoorkomend begin is simpel: één backend biedt een set endpoints, en zowel de webapp als de mobiele app roept die aan. Het voelt efficiënt omdat er één plek is om features toe te voegen, bugs te fixen en regels af te dwingen.
Dan slaat de realiteit toe. De web-UI heeft vaak dichte schermen, filters, exports en admin-acties nodig. Mobiel heeft meestal minder velden nodig, snellere schermen, offline-vriendelijke flows en voorzichtigheid met batterij- en datagebruik. Zelfs wanneer de feature "hetzelfde" is, is de beste API-vorm voor elke client zelden identiek.
In de loop van de tijd driften endpoints uiteen. Een webteam voegt extra velden toe voor een nieuwe tabelweergave. Mobiel vraagt om zware payloads te verwijderen en meerdere calls te combineren. Iemand voegt een parameter "alleen voor iOS" toe. Weer een ander hergebruikt een interne admin-endpoint in de publieke app omdat het "er al was". Wat begon als één schone API wordt een verzameling compromissen.
De risico's verschijnen snel:
Dit is de kernspanning achter de API-gateway vs BFF-discussie. Je wilt stabiele publieke API's waar mobiel en web op kunnen vertrouwen, terwijl elke client ruimte krijgt om in eigen tempo te evolueren.
Een API-gateway is de voordeur voor je API's. Clients roepen de gateway aan en die routet verzoeken naar de juiste backendservice. Vaak behandelt de gateway gedeelde zorgen die je niet overal wilt herhalen, zoals authenticatiechecks, rate limits, request logging en basis request-shaping.
Een backend-for-frontend (BFF) is een kleine backend gebouwd voor één specifieke client of groep clients, zoals "web" en "mobile". De client roept zijn BFF aan, en de BFF roept de onderliggende services aan. Het sleutelidee is focus: de BFF mag de taal van de client spreken (schermen, flows en payloads), zelfs als de core services generieker blijven.
Wat deze patronen niet zijn: ze vervangen geen goede domain services of een schoon datamodel. Je core services, databases en businessregels moeten de bron van waarheid blijven. Een gateway of BFF mag niet veranderen in een grote kluwen van businesslogic die langzaam je echte backend wordt.
Een eenvoudige manier om ze te onderscheiden:
Je kunt ze ook combineren. Een gebruikelijke opzet is een gateway als publiek edge, met daarachter aparte BFFs voor web en mobiel. De gateway handelt buitenste security en trafficregels af, terwijl elke BFF endpoints en responses vormgeeft voor zijn client.
Het grootste verschil tussen een API-gateway en een BFF is waar je de "voordeur"-logica plaatst: routing, authenticatiechecks en response-shaping.
Bij een API-gateway praat de client meestal met één gedeeld toegangspunt. De gateway forwardt requests naar interne services en doet vaak basisdingen zoals tokenvalidatie, rate limiting en routing op basis van pad.
Bij een BFF roept elk clienttype (web, iOS, Android) een backend aan die specifiek voor hen is gebouwd. Die BFF roept vervolgens interne services aan en geeft een response terug die is afgestemd op de schermen en beperkingen van die client.
Een eenvoudige weergave van het request-pad:
Eigenaarschap verschuift vaak ook. Een platform- of infrastructuurteam bezit doorgaans de gateway omdat die ieder team en elke service raakt. Een featureteam bezit vaak een BFF omdat die meebeweegt met de UI en de releasecyclus.
Authenticatie loopt vaak zo: de client stuurt een token, de edge layer (gateway of BFF) valideert het of stuurt het naar een auth-service, en geeft vervolgens identiteitgegevens (user id, rollen) door aan downstream services. Het verschil is waar je clientregels toepast. Bij een gateway zijn policies meestal generiek en consistent. Bij een BFF kun je client-specifieke shaping toevoegen, zoals een kleinere payload voor mobiel of het combineren van meerdere servicecalls in één response voor trage netwerken.
Die shapingstap is waar BFFs uitblinken, maar het betekent ook meer bewegende delen om te deployen en consistent te houden.
Een publiek endpoint is elke API-route die je webapp, mobiele app, partners of derden kunnen bereiken. Behandel het standaard als hostile, omdat je het netwerk of de clientcode die het aanroept niet controleert.
Een intern endpoint is bedoeld voor service-to-service verkeer binnen je systeem. Het kan sneller veranderen, meer context aannemen en rijkere data blootstellen, maar het mag nooit rechtstreeks vanaf het publieke internet bereikbaar zijn.
Met een API-gateway is de scheiding vaak fysiek en makkelijk te beredeneren: alleen de gateway is blootgesteld en die beslist welke externe routes bestaan. Alles daarachter blijft privé. Je kunt interne service-API's expressief houden, terwijl de gateway een kleinere, veiligere oppervlakte afdwingt.
Met het backend-for-frontend-patroon is de split meer over productgrenzen. Elke client (web, iOS, Android) praat alleen met zijn BFF, en de BFF praat met interne services. Dat laat je interne complexiteit verbergen: de BFF kan drie services aanroepen, resultaten samenvoegen en één simpele response exposen die past bij wat de client echt nodig heeft.
De scheiding is alleen veilig als je praktische controles toevoegt:
Voorbeeld: een mobiele app heeft een "Mijn bestellingen"-scherm nodig. De BFF kan /orders exposen met alleen orderstatus en totalen, terwijl de interne orderservice gedetailleerde kostenspecificaties en fraude-flags privé houdt.
Versioning-pijn verschijnt meestal wanneer web en mobiel in verschillende snelheden bewegen. Een webteam kan binnen uren uitrollen en terugdraaien. Een mobiele app kan dagen of weken duren door app store-review en gebruikers die niet updaten. Dat gat is waar de API-gateway vs BFF-beslissing praktisch wordt.
Met een API-gateway kun je versioning op één voordeur zetten (bijv. /v1/..., /v2/...). Dat is makkelijk uit te leggen en te routeren. Het nadeel is dat de gateway kan veranderen in een versie-museum als veel clients en partnerintegraties aan oude versies vasthouden. Je houdt zo lang verschillende datavormen in stand.
Met een BFF is versioning vaak "per client". De mobiele BFF kan op een ouder contract blijven terwijl de web BFF sneller gaat, zelfs als beide dezelfde interne services aanspreken. Dat vermindert meestal de druk om publieke versies eeuwig te ondersteunen. De afweging is meer bewegende delen: je hebt nu meerdere versie-beslissingen te beheren en te deployen.
Versioning binnen services kan ook werken, maar het duwt clientgedreven veranderingen diep in je systeem. Het kan interne code ook moeilijker leesbaar maken omdat service-logica gaat takken op clientversies.
Niet-brekende wijzigingen zijn je beste vriend: optionele velden toevoegen, nieuwe endpoints toevoegen of extra inputvelden accepteren. Brekende wijzigingen zijn bijvoorbeeld het hernoemen van een veld, het veranderen van een type (string naar number) of het verwijderen van een endpoint.
Deprecatie werkt het best wanneer het gepland is:
Performance in een API-gateway vs BFF-opzet is meestal een afweging: één extra hop binnen je systeem tegenover minder hops over het netwerk vanaf de client. De snelste optie is vaak degene die trage, onbetrouwbare clientnetwerktijd vermindert, zelfs als het een kleine server-side stap toevoegt.
Een BFF wint vaak wanneer de client anders veel calls zou doen. In plaats van dat web en mobiel vijf endpoints aanroepen en resultaten op het apparaat samenvoegen, kan de BFF server-side wat nodig is ophalen en één response teruggeven. Dat verkort meestal de totale latency op mobiel omdat mobiele netwerken extra vertraging geven bij elke aanvraag.
Veelvoorkomende performanceverbeteringen door een gateway of BFF:
Maar het patroon kan ook schaden. Elke extra laag voegt CPU-werk en meer wachttijd toe. Als je dezelfde aggregatielogica dupliceert voor web en mobiel, verdubbel je mogelijk het werk en creëer je inconsistent gedrag. Over-fetching is een andere veelvoorkomende verliespost: een generiek endpoint dat probeert elk scherm te bedienen, kan grote payloads teruggeven die tijd en bandbreedte verspillen.
Mobiele realiteiten maken deze afwegingen scherper. Flinke netwerken betekenen retries en timeouts zijn normaal, en elke extra call kost batterij. Cold starts tellen ook: als de app meerdere verzoeken nodig heeft voordat het eerste scherm bruikbaar is, merken gebruikers het.
Een praktische regel: optimaliseer eerst voor minder client-requests, optimaliseer daarna de extra hop.
Als een scherm meer dan 2-3 opeenvolgende calls nodig heeft, overweeg aggregatie. Als responses groot zijn en grotendeels ongebruikt, overweeg endpoints te splitsen of een client-gerichte BFF te gebruiken.
Bij API-gateway vs BFF is de grote operationele vraag hoeveel bewegende delen je wilt draaien en ondersteunen. Een gateway wordt vaak gedeelde infrastructuur voor veel teams en clients. BFFs zijn meestal kleinere services, maar je kunt er één per client krijgen (web, iOS, Android, partner), wat release- en on-call last vergroot.
Qua testen en releases kan een gateway veiliger zijn wanneer je voornamelijk routing, auth en rate limits nodig hebt. Wijzigingen zijn gecentraliseerd, dus één fout kan iedereen raken. BFFs verkleinen de blast radius omdat een web-only wijziging naar de web BFF wordt uitgerold, niet naar de mobiele. De afweging is meer pipelines om te onderhouden en meer versies tegelijkertijd.
Voor observability moet je één gebruikersrequest over lagen heen kunnen zien, vooral wanneer één mobiele call meerdere backend-calls triggert.
Scaling ziet er ook anders uit. Een gateway is een gedeelde choke point: die moet pieken en hot endpoints aan kunnen zonder zelf de bottleneck te worden. BFFs laten je per client schalen, wat helpt als webverkeer tijdens kantooruren piekt terwijl mobiel stabiel blijft.
In incidenten kunnen failures "verhuizen" afhankelijk van het patroon. Met een gateway verschijnen problemen vaak als wijdverspreide 5xx- of auth-fouten. Met BFFs kunnen issues geïsoleerd zijn tot één client-feature. Maak runbooks duidelijk over waar eerst te kijken en houd fallback-gedrag simpel (bijv. retourneer een gereduceerde response in plaats van te time-outen).
Kiezen tussen een API-gateway en een BFF gaat minder over theorie en meer over wat je clients dagelijks nodig hebben.
Begin bij je clients, niet je servers. Schrijf elke client op die je ondersteunt (webapp, iOS, Android, partner-API, interne admin) en noteer wat elk belangrijk scherm nodig heeft. Als hetzelfde "Klantdetails"-scherm verschillende velden en callpatronen nodig heeft per client, is dat een sterk signaal voor client-specifieke shaping.
Kaart je huidige situatie. Neem je endpoints en markeer wat gedeeld is (core domain-operaties zoals orders, betalingen, users) versus wat presentatiegevormd is (dashboard-samenvatting, gecombineerde "home screen" payload). Gedeelde stukken horen in de core backend. Presentatiegevormde stukken passen meestal beter in een BFF.
Bepaal waar shaping en regels moeten leven. Als je vooral routing, auth, rate limits, caching en veilige blootstelling van publieke vs interne endpoints nodig hebt, is een gateway de natuurlijke plek. Als je echte compositie nodig hebt (meerdere services aanroepen, zes calls in één veranderen, verschillende payloads per app), zet die logica in BFF-code zodat het testbaar en leesbaar blijft.
Kies een versioning- en deprecatieregel die je ook echt volgt. Bijvoorbeeld: "Geen breaking changes zonder nieuwe versie, en elk gedepricieerd veld blijft 90 dagen staan." Met alleen een gateway kun je de publieke laag versioneren en vertalen erachter. Met BFFs kun je vaak de core APIs stabiel houden en alleen de BFF-endpoints per client versionen.
Plan rollout en meet. Leg basismetingen vast voordat je iets verandert: p95 latency, aantal calls per scherm, payloadgroottes en error rates. Rol uit naar een klein percentage eerst, vergelijk voor en na, en breid dan uit.
Een simpel voorbeeld: als je mobiele app maandelijks releaset maar je webportaal dagelijks, kan een kleine mobiele BFF de app beschermen tegen frequente backendveranderingen terwijl de webclient snel blijft bewegen.
Stel je een bedrijf voor met een klantenportal op web en een field-app op mobiel. Beide hebben dezelfde coredata nodig: klanten, jobs, facturen en berichten. De portal verandert wekelijks. De mobiele app updatet langzamer vanwege app store-review en moet ook werken bij zwak signaal.
De pijn verschijnt snel. Mobiele gebruikers willen compacte responses, minder calls en flows die offline werken (bijv. download de taken van vandaag één keer en sync wijzigingen later). De webportal maakt meer calls en laadt rijkere schermen omdat die altijd online is en makkelijker te updaten.
De gateway-first keuze houdt je backendservices grotendeels ongewijzigd. De gateway handelt authenticatie, routing en kleine aanpassingen zoals headers, rate limits en eenvoudige veldmapping. Versioning blijft grotendeels op service-API-niveau. Dat kan goed zijn: minder bewegende delen. Maar het betekent ook dat mobiel-specifieke veranderingen je vaak naar brede versies duwen zoals /v2 omdat de onderliggende endpoints gedeeld zijn.
Endpoint-exposure is duidelijker als je de gateway als enige publieke deur ziet. Interne endpoints blijven erachter, maar je moet streng zijn over wat de gateway kan bereiken en wat hij publiceert.
Met een mobiele BFF praat de mobiele app met endpoints die ontworpen zijn voor mobiele schermen en sync-flows. De BFF kan data aggregaten (jobdetails + klant + laatste bericht), velden trimmen en één payload teruggeven die past bij de app.
Wat verandert:
De grootste valkuil is de gateway veranderen in een mini-backend. Gateways zijn geweldig in routing, auth, rate limits en eenvoudige request-shaping. Als je ze volstopt met businessregels, ontstaat verborgen logica die moeilijk te testen en te debuggen is en makkelijk kapotgaat door een configwijziging.
BFFs kunnen de andere kant op fout gaan: teams maken één BFF per scherm of per feature en het onderhoud explodeert. Een BFF zou meestal moeten corresponderen met een clienttype (web, iOS, Android) of een duidelijk productgebied, niet elke UI-view. Anders dupliceer je regels op tien plekken en wordt versiebeheer een fulltime taak.
Versioning-fouten komen vaak door extremen. Als je vanaf dag één alles versioneert, vries je je API te vroeg in en houd je oude varianten eeuwig in stand. Als je nooit versieert, breng je per ongeluk breaking changes uit. Een simpele regel werkt goed: versieer niet voor kleine additionele wijzigingen, maar maak een nieuwe versie wanneer je iets verwijdert of de betekenis verandert.
Publieke vs interne endpoints is waar teams vaak pijn ervaren. Interne services tijdelijk direct naar internet blootstellen maakt elke interne wijziging een potentiële outage of security-incident. Houd een duidelijke grens: alleen de gateway of BFF is publiek, en interne services blijven privé.
Performance-problemen zijn meestal zelf veroorzaakt: te grote payloads, te veel roundtrips en geen latencybudget. Bijvoorbeeld: een mobiele app heeft misschien alleen orderstatus en totalen nodig, maar krijgt het volledige orderobject met iedere regel en auditvelden, waardoor elk verzoek traag is op mobiel.
Waarschuwingssignalen om op te letten:
Als je vastloopt in de API-gateway vs BFF-beslissing, focus op wat er in de praktijk als eerste zal breken: releases, payloads en security-grenzen.
Als je op meerdere van deze "nee" antwoordt, zal je huidige opzet waarschijnlijk problemen geven naarmate je clients groeien:
Zet de antwoorden om in een plan. Het doel is geen perfecte architectuur, maar minder verrassingen bij uitrol.
Schrijf je API-contract in gewone taal (inputs, outputs, foutcodes, wat mag veranderen). Kies een eigenaarsmodel: wie bezit clientbehoeften (web/mobiel) en wie bezit core domainservices. Bepaal waar versioning leeft (per client of centraal) en stel een deprecatieregel vast die je volgt.
Voeg basismonitoring toe vóór grote refactors: request-rate, p95 latency, error rate en de top-endpoints op payloadgrootte. Prototypeer de risicovolle clientflows eerst.
Als je bouwt met AppMaster (appmaster.io), is een praktische aanpak om core businesslogica en datamodellen in de gegenereerde backend te houden en alleen een dunne gateway- of BFF-laag toe te voegen waar een client echt andere payloads of release-isolatie nodig heeft.
Als de checklist moeilijk te beantwoorden is, zie dat als een signaal om het contract te vereenvoudigen en de publieke vs interne scheiding aan te scherpen vóór je meer endpoints toevoegt.
When should I use an API gateway instead of a BFF?Begin met een API-gateway wanneer je vooral één openbaar toegangspunt nodig hebt met gedeelde controles zoals authenticatie, rate limits en routing. Voeg een BFF toe wanneer web en mobiel duidelijk verschillende payloads, minder client-calls of onafhankelijke releasecycli nodig hebben.
What logic should live in the gateway vs in a BFF?Een gateway is het beste voor cross-cutting zorgen en verkeersbeheer aan de rand: blijf daar bij routing, auth-enforcement en eenvoudige request/response-handling. Een BFF hoort clientgerichte samenstelling te doen, zoals meerdere servicecalls combineren en velden trimmen, maar ook daar mogen geen kernbusinessregels komen te zitten.
How does versioning differ between a gateway-only approach and a BFF approach?Met een gateway heb je één versieerde “voordeur”, wat makkelijk te begrijpen is maar je kan zo langer oude versies moeten ondersteunen. Met een BFF kun je per client versieën onderhouden: mobiel kan stabiel blijven terwijl web sneller beweegt, tegen de kosten van meer services en contracten om te beheren.
What’s the safest rule for avoiding breaking changes for mobile and web?Voorkom brekende veranderingen waar mogelijk: voeg optionele velden toe of nieuwe endpoints. Maak een nieuwe versie wanneer je velden verwijdert, hernoemt, type verandert of betekenis verandert, omdat mobiele gebruikers mogelijk weken niet updaten.
How do I safely separate public endpoints from internal endpoints?Houd interne services privé en maak alleen de gateway of BFF publiek bereikbaar. Filter responses zodat clients alleen krijgen wat ze nodig hebben en handhaaf per-route autorisatie zodat een interne admin-actie niet bereikbaar is alleen omdat een gebruiker ingelogd is.
Will adding a gateway or BFF make my app slower?Gebruik een BFF wanneer de client anders veel opeenvolgende calls zou doen: één server-side aggregatie is vaak sneller dan meerdere mobiele roundtrips. Een gateway voegt ook een extra hop toe; hou het lichtgewicht en meet latency en payload-grootte om verborgen vertragingen te vermijden.
Which pattern is easier to operate and troubleshoot?Een gateway is een gedeeld knelpunt: een slechte config kan alle clients raken. BFFs beperken de blast radius door changes voor één client te isoleren, maar je krijgt meer deploys, meer monitoring en meer on-call oppervlak om te beheren.
What monitoring should I add for a gateway/BFF setup?Gebruik een correlation ID en geef die door langs gateway/BFF en alle downstream services zodat één gebruikersactie end-to-end traceerbaar is. Track een klein setje per-endpoint metrics zoals error rate, p95 latency, throughput en payloadgrootte zodat regressies snel zichtbaar zijn.
What are the most common mistakes with API gateways and BFFs?Een bekende valkuil is de gateway volproppen met businessregels, wat gedrag moeilijk testbaar en fragiel maakt. Een andere fout is te veel BFFs (voor ieder scherm), wat logica dupliceert en versioning en onderhoud onhoudbaar maakt.
How can I apply this if I’m building with AppMaster?Houd core datamodellen en businessprocessen in de gegenereerde backend, en voeg alleen een dunne gateway- of client-specifieke BFF-laag toe waar vormgeving of release-isolatie echt nodig is. Bouw stabiele domeinendpoints in de backend en gebruik een kleine laag voor mobiele aggregatie of payload-trimming.
27 jan 2026
7 min
26 jan 20268 min
21 jan 20267 minExperimenteer met AppMaster met gratis abonnement.
Als je er klaar voor bent, kun je het juiste abonnement kiezen.
