在微服务架构中，API网关是流量的关键节点，负责认证、授权和限流等功能。但网关的能力有限，无法处理复杂的业务数据授权。文章强调了网关、服务和数据库在认证授权中的不同职责，提出了三层防御模型，并比较了常见的网关方案（如Istio、Kong、APISIX）。建议在设计时避免将所有授权逻辑集中在网关，强调纵深防御的重要性。