¿Cómo maneja el gateway las llamadas a rutas no mapeadas?

Desde 28 de abril de 2025, es posible configurar su API para que el Gateway acepte solo solicitudes que coincidan exactamente con las rutas registradas en el Manager. Es decir, si una ruta específica no está definida, las solicitudes realizadas a ella serán bloqueadas y el Gateway devolverá el error 404 (ruta no encontrada).

Anteriormente, el Gateway aceptaba rutas adicionales después de la ruta mapeada. Por ejemplo, incluso si la ruta configurada era GET /cuenta-corriente, una llamada a /cuenta-corriente/saldo también se enviaba al backend con el segmento /saldo tratado como un extraPath.

¿Cómo puedo activar el bloqueo de rutas no mapeadas en mis APIs?

Para nuevos clientes, esta configuración ya viene habilitada por defecto. Por lo tanto, en el caso de estos clientes, no es necesaria ninguna acción.

Para clientes que ya utilizaban el API Manager en versiones anteriores (como las versiones de la API Platform 4.x, por ejemplo), esta configuración no está activa por defecto, excepto si el cliente ya había solicitado este cambio anteriormente. En este caso, para habilitar esta funcionalidad, es necesario contactar a nuestro equipo de soporte.

La configuración se aplicará a través de:

gateway.matching.exact-path = true

Una vez habilitada la configuración, cualquier solicitud que no tenga una ruta explícitamente mapeada en el Manager será automáticamente rechazada con un error 404.

¿Por qué es importante esta funcionalidad?

Este nuevo comportamiento aumenta la seguridad y la previsibilidad del enrutamiento, siendo especialmente útil en escenarios con:

  • Requisitos de cumplimiento;

  • Entornos con múltiples aplicaciones expuestas por un único backend;

  • Riesgos de exposición de endpoints administrativos o privados;

  • Necesidad de un control más estricto sobre las rutas válidas de la API.

¿Esto significa que había una vulnerabilidad?

No. El comportamiento predeterminado es similar al de otros gateways del mercado, como el {proxy+} del AWS API Gateway. Fue diseñado para escenarios con rutas dinámicas. La nueva funcionalidad simplemente ofrece un nivel adicional de control, alineado con las mejores prácticas de seguridad.

¿Este cambio afecta mis APIs existentes?

No. El comportamiento predeterminado de sus APIs sigue siendo el mismo. La nueva configuración solo se aplicará bajo solicitud y no afecta las rutas ya configuradas.

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]