12 thg 10, 2025·8 phút
Cách các framework full-stack làm mờ ranh giới giữa frontend và backend
Các framework full-stack kết hợp giao diện, dữ liệu và logic server trong cùng một nơi. Tìm hiểu những thay đổi, lợi ích và những điều đội ngũ cần lưu ý.
Các framework full-stack kết hợp giao diện, dữ liệu và logic server trong cùng một nơi. Tìm hiểu những thay đổi, lợi ích và những điều đội ngũ cần lưu ý.
Trước khi có các framework full-stack, “frontend” và “backend” được tách bởi một đường khá rõ: trình duyệt ở một bên, server ở bên kia. Sự tách biệt đó định hình vai trò đội ngũ, ranh giới repo, và thậm chí cách người ta mô tả “ứng dụng”.
Frontend là phần chạy trong trình duyệt người dùng. Nó tập trung vào những gì người dùng nhìn thấy và tương tác: bố cục, style, hành vi phía client, và gọi API.
Trong thực tế, công việc frontend thường là HTML/CSS/JavaScript kèm một UI framework, rồi gửi request tới backend API để tải và lưu dữ liệu.
Backend sống trên server và tập trung vào dữ liệu và quy tắc: truy vấn database, logic nghiệp vụ, xác thực, phân quyền và tích hợp (thanh toán, email, CRM). Nó mở ra các endpoint—thường REST hoặc GraphQL—mà frontend tiêu thụ.
Một mô hình hữu ích: frontend hỏi; backend quyết định.
Full-stack framework là framework web có ý đồ bao phủ cả hai bên đường đó trong một dự án. Nó có thể render page, định nghĩa route, lấy dữ liệu và chạy mã server—trong khi vẫn tạo ra UI cho trình duyệt.
Ví dụ phổ biến gồm Next.js, Remix, Nuxt, và SvelteKit. Điểm mấu chốt không phải là chúng luôn “tốt hơn”, mà là chúng làm cho mã UI và mã server sống gần nhau hơn trở nên bình thường.
Đây không phải tuyên bố rằng “bạn không cần backend nữa.” Database, background jobs và các tích hợp vẫn tồn tại. Thay đổi là về trách nhiệm chia sẻ: developer frontend chạm nhiều mối quan tâm phía server hơn, và developer backend chạm nhiều rendering và trải nghiệm người dùng hơn—vì framework khuyến khích hợp tác qua ranh giới đó.
Full-stack frameworks không ra đời vì các team quên cách tách frontend và backend. Chúng xuất hiện vì, với nhiều sản phẩm, chi phí phối hợp khi giữ chúng tách biệt trở nên đáng chú ý hơn lợi ích.
Các team hiện đại tối ưu hóa để phát hành nhanh và lặp nhanh. Khi UI, lấy dữ liệu và "glue code" nằm trong các repo và workflow khác nhau, mỗi tính năng trở thành một cuộc tiếp sức: định nghĩa API, triển khai, viết tài liệu, nối, sửa giả định không khớp, rồi lặp lại.
Full-stack frameworks giảm những bàn giao đó bằng cách cho phép một thay đổi bao phủ trang, dữ liệu và logic server trong một pull request duy nhất.
Trải nghiệm developer (DX) cũng quan trọng. Nếu một framework cung cấp routing, load dữ liệu, primitives cache và mặc định triển khai cùng nhau, bạn tốn ít thời gian lắp ghép thư viện và nhiều thời gian hơn để xây dựng.
JavaScript và TypeScript trở thành ngôn ngữ chung giữa client và server, và bundler làm cho việc đóng gói mã cho cả hai môi trường trở nên thực tế. Một khi server có thể chạy JS/TS đáng tin cậy, dễ dàng hơn để tái sử dụng validation, formatting và types qua ranh giới.
Mã “isomorphic” không phải lúc nào cũng là mục tiêu—nhưng tooling chung làm giảm ma sát để đặt gần nhau các mối quan tâm.
Thay vì nghĩ về hai deliverable (một trang và một API), full-stack frameworks khuyến khích giao một tính năng duy nhất: route, UI, truy cập dữ liệu server-side và mutation cùng nhau.
Điều đó phù hợp hơn với cách công việc sản phẩm được phân khúc: “Xây checkout”, không phải “Xây UI checkout” và “Xây endpoints checkout”.
Sự đơn giản này là một thắng lợi lớn cho các team nhỏ: ít dịch vụ hơn, ít hợp đồng hơn, ít phần chuyển động hơn.
Ở qui mô lớn hơn, độ gần gũi đó có thể tăng coupling, làm mờ quyền sở hữu, và tạo ra các lỗi hiệu năng hoặc bảo mật—vì vậy sự tiện lợi cần có các guardrail khi codebase lớn lên.
Full-stack frameworks biến “kết xuất” thành quyết định sản phẩm có ảnh hưởng tới server, database và chi phí. Khi bạn chọn một chế độ rendering, bạn không chỉ chọn cách trang cảm nhận nhanh ra sao—bạn đang chọn nơi công việc xảy ra và tần suất xảy ra.
Server-Side Rendering (SSR) nghĩa là server xây dựng HTML cho mỗi request. Bạn có nội dung tươi, nhưng server làm nhiều việc hơn mỗi khi có lượt truy cập.
Static Site Generation (SSG) nghĩa là HTML được tạo trước (trong quá trình build). Trang rất rẻ để phục vụ, nhưng cập nhật yêu cầu rebuild hoặc revalidate.
Hybrid rendering trộn hai cách: một số trang tĩnh, một số render trên server, và một số được cập nhật từng phần (ví dụ, tái sinh trang sau N phút).
Với SSR, một thay đổi “frontend” như thêm widget cá nhân hóa có thể biến thành mối quan tâm backend: lookup session, đọc DB, và thời gian phản hồi chậm hơn khi tải cao.
Với SSG, một thay đổi “backend” như cập nhật giá có thể cần lên kế hoạch chu kỳ rebuild hoặc incremental regeneration.
Các convention của framework ẩn nhiều độ phức tạp: bạn bật một flag config, export một hàm, hoặc đặt file vào thư mục đặc biệt—và đột nhiên bạn đã xác định hành vi cache, việc chạy trên server và thứ gì chạy ở thời gian build so với request-time.
Caching không còn là cấu hình CDN nữa. Kết xuất thường bao gồm:
Đó là lý do các chế độ rendering kéo suy nghĩ backend vào lớp UI: developer quyết định độ tươi, hiệu năng và chi phí cùng lúc họ thiết kế trang.
Full-stack frameworks ngày càng coi “một route” hơn là một URL render trang. Một route có thể bao gồm cả mã server load dữ liệu, xử lý form, và trả response API.
Thực tế, điều đó có nghĩa bạn có một kiểu backend bên trong repo frontend—mà không cần tạo một service riêng.
Tùy framework, bạn sẽ gặp các thuật ngữ như loaders (lấy dữ liệu cho trang), actions (xử lý mutation như form post), hoặc API routes (endpoint trả JSON).
Dù chúng cảm giác “frontend” vì nằm cạnh file UI, nhưng chúng thực hiện công việc backend kinh điển: đọc tham số request, gọi DB/dịch vụ, và định hình response.
Việc đồng vị theo route này cảm thấy tự nhiên vì mã cần để hiểu một màn hình ở gần nhau: component trang, nhu cầu dữ liệu của nó, và thao tác ghi thường nằm cùng thư mục. Thay vì tìm trong một project API riêng, bạn theo route.
Khi route vừa sở hữu rendering vừa sở hữu hành vi server, mối quan tâm backend trở thành một phần của workflow UI:
Vòng lặp chặt này giảm trùng lặp, nhưng cũng tăng rủi ro: “dễ nối” có thể thành “dễ tích tụ logic sai chỗ”.
Route handlers là chỗ tốt để phối hợp—phân tích input, gọi hàm domain, và chuyển kết quả thành HTTP response. Nhưng không nên để các quy tắc nghiệp vụ phức tạp lớn dần ở đó.
Nếu quá nhiều logic tích tụ trong loaders/actions/API routes, việc test, tái sử dụng và chia sẻ qua các route trở nên khó khăn.
Một ranh giới thực tế: giữ route mảnh (thin), và di chuyển quy tắc cốt lõi vào module riêng (ví dụ, lớp domain hoặc service) mà routes gọi tới.
Full-stack frameworks ngày càng khuyến khích đặt việc lấy dữ liệu ngay cạnh UI dùng nó. Thay vì định nghĩa query ở lớp riêng rồi truyền props qua nhiều file, một trang hoặc component có thể fetch đúng thứ nó cần ngay nơi render.
Với các team, điều đó thường nghĩa ít chuyển ngữ cảnh hơn: bạn đọc UI, bạn thấy query, bạn hiểu cấu trúc dữ liệu—mà không phải nhảy qua thư mục.
Khi fetching đặt cạnh component, câu hỏi then chốt là: mã này chạy ở đâu? Nhiều framework cho phép component chạy trên server theo mặc định (hoặc bật tuỳ chọn server), điều này lý tưởng để truy cập DB hoặc dịch vụ nội bộ trực tiếp.
Tuy nhiên component phía client chỉ được chạm tới dữ liệu an toàn cho client. Bất cứ thứ gì fetch trong trình duyệt có thể bị inspect trong DevTools, bị chặn trên mạng, hoặc bị cache bởi tooling bên thứ ba.
Cách tiếp cận thực tế là coi mã server là “đáng tin cậy”, và mã client là “công khai”. Nếu client cần dữ liệu, hãy phơi bày có chủ ý qua hàm server, API route, hoặc loader do framework cung cấp.
Dữ liệu chảy từ server ra trình duyệt phải được serialize (thường JSON). Ranh giới này là nơi các trường nhạy cảm có thể vô tình bị lộ—nghĩ tới passwordHash, ghi chú nội bộ, quy tắc giá, hoặc PII.
Guardrail hữu ích:
user có thể mang theo các thuộc tính ẩn.Khi việc lấy dữ liệu đặt cạnh component, rõ ràng về ranh giới đó quan trọng không kém tiện lợi.
Một lý do khiến full-stack frameworks cảm giác “hòa trộn” là ranh giới UI và API có thể trở thành một tập hợp types chung.
Shared types là định nghĩa kiểu (thường TypeScript interface hoặc kiểu suy luận) mà cả frontend và backend import, nên cả hai bên đồng ý một User, Order, hay CheckoutRequest trông thế nào.
TypeScript biến “hợp đồng API” từ file PDF hay trang wiki thành thứ editor có thể kiểm tra. Nếu backend đổi tên field hoặc biến thuộc tính thành optional, frontend có thể lỗi sớm ở thời gian build thay vì hỏng lúc runtime.
Điều này đặc biệt thu hút trong monorepos, nơi dễ dàng publish một package @shared/types nhỏ (hoặc chỉ import một thư mục) và giữ mọi thứ đồng bộ.
Chỉ dùng types có thể lạc khỏi thực tế nếu viết tay. Đó là lúc schemas và DTOs (Data Transfer Objects) hữu ích:
Với cách tiếp cận schema-first hoặc schema-inferred, bạn có thể validate input trên server và tái sử dụng cùng định nghĩa để gõ các cuộc gọi client—giảm mismatch “chạy được trên máy tôi” vốn hay xảy ra.
Chia sẻ model khắp nơi cũng có thể dán chặt các lớp. Khi component UI phụ thuộc trực tiếp vào đối tượng domain (hoặc tệ hơn, kiểu database-shaped), refactor backend biến thành refactor frontend, và thay đổi nhỏ lan ra khắp app.
Một thỏa hiệp thực tế là:
Bằng vậy, bạn có tốc độ của shared types mà không biến mỗi thay đổi nội bộ thành sự kiện phối hợp liên đội.
Server Actions (tên khác nhau theo framework) cho phép bạn gọi mã server từ một event UI như thể đang gọi hàm cục bộ. Một submit form hoặc click nút có thể gọi createOrder() trực tiếp, và framework lo serialize input, gửi request, chạy mã trên server, rồi trả kết quả.
Với REST hoặc GraphQL, bạn thường nghĩ theo endpoint và payload: định nghĩa route, định dạng request, xử lý status code, rồi parse response.
Server Actions dịch mô hình ấy về “gọi hàm với tham số.”
Không có cách nào vốn dĩ tốt hơn. REST/GraphQL rõ ràng khi bạn muốn ranh giới tường minh, ổn định cho nhiều client. Server Actions mượt mà hơn khi consumer chính là cùng app render UI, vì nơi gọi có thể nằm ngay cạnh component kích hoạt.
Cảm giác “hàm cục bộ” có thể gây hiểu lầm: Server Actions vẫn là điểm vào server.
Bạn phải validate input (kiểu, phạm vi, trường bắt buộc) và áp quyền (ai làm được gì) bên trong action, không chỉ ở UI. Hãy coi mỗi action như handler API công khai.
Dù gọi trông như await createOrder(data), nó vẫn băng qua mạng. Điều đó nghĩa có độ trễ, lỗi gián đoạn và retry.
Bạn vẫn cần trạng thái loading, xử lý lỗi, idempotency cho re-submits an toàn, và xử lý thất bại từng phần—nhưng có cách tiện hơn để nối các phần lại với nhau.
Full-stack frameworks có xu hướng trải công việc auth khắp app, vì request, rendering và truy cập dữ liệu thường xảy ra trong cùng dự án—đôi khi cùng một file.
Thay vì bàn giao rõ ràng cho team backend riêng, xác thực và phân quyền trở thành mối quan tâm chung chạm middleware, routes và mã UI.
Một flow điển hình trải qua nhiều lớp:
Các lớp này bổ sung cho nhau. UI guards cải thiện trải nghiệm, nhưng không phải cơ chế an toàn.
Hầu hết app chọn một trong các cách:
Full-stack frameworks làm cho việc đọc cookie khi SSR và gắn identity vào fetch dữ liệu server-side dễ dàng—tiện lợi nhưng cũng nghĩa lỗi có thể xuất hiện ở nhiều nơi hơn.
Phân quyền (được phép làm gì) nên được thực thi nơi dữ liệu được đọc hoặc thay đổi: trong server actions, API handlers, hoặc hàm truy cập DB.
Nếu bạn chỉ áp ở UI, người dùng có thể bỏ giao diện và gọi endpoint trực tiếp.
role: adminhoặcuserId` trong body request).Full-stack frameworks không chỉ thay đổi cách bạn viết mã—chúng thay đổi nơi “backend” thực sự chạy.
Nhiều nhầm lẫn về vai trò xuất phát từ triển khai: cùng một app có thể chạy như server truyền thống một ngày, và như tập các function nhỏ vào ngày khác.
Một long-running server là mô hình cổ điển: bạn chạy một process giữ memory và phục vụ request liên tục.
Serverless chạy mã như các function on-demand. Chúng khởi động khi có request và có thể tắt khi idle.
Edge đẩy mã gần người dùng hơn (thường ở nhiều region). Nó tốt cho độ trễ thấp, nhưng runtime có thể bị giới hạn hơn server đầy đủ.
Với serverless và edge, cold starts đáng kể: request đầu sau một khoảng im lặng có thể chậm hơn khi function khởi động. Các feature như SSR, middleware, và dependency nặng có thể tăng chi phí khởi động đó.
Ngược lại, nhiều framework hỗ trợ streaming—gửi phần trang khi chúng sẵn sàng—nên người dùng thấy thứ gì đó nhanh mặc dù dữ liệu vẫn đang load.
Caching trở thành trách nhiệm chung. Cache ở mức trang, cache fetch, và cache CDN đều tương tác. Một quyết định “frontend” như “kết xuất này trên server” có thể ảnh hưởng tới các mối quan tâm giống backend: invalidate cache, dữ liệu stale, và nhất quán theo vùng.
Environment variables và secrets (API keys, URL DB) không còn là “chỉ backend.” Bạn cần quy tắc rõ ràng về gì an toàn cho trình duyệt và gì chỉ server-only, cùng cách quản lý secrets nhất quán qua các môi trường.
Observability cần phủ cả hai lớp: logs tập trung, distributed traces, và báo lỗi nhất quán để một render chậm có thể được truy nguyên tới một cuộc gọi API thất bại—dù chúng chạy ở chỗ khác nhau.
Full-stack frameworks không chỉ thay đổi cấu trúc mã—chúng thay đổi ai “sở hữu” cái gì.
Khi component UI có thể chạy trên server, định nghĩa routes và gọi DB (trực tiếp hay gián tiếp), mô hình bàn giao cũ giữa frontend và backend có thể trở nên lộn xộn.
Nhiều tổ chức chuyển sang feature teams: một team chịu trách nhiệm một lát cắt hướng người dùng (ví dụ “Checkout” hoặc “Onboarding”) end-to-end. Điều này phù hợp với frameworks nơi một route có thể bao gồm page, server action và truy cập dữ liệu cùng một chỗ.
Đội frontend/backend tách biệt vẫn làm được, nhưng bạn cần interfaces và quy trình review rõ ràng—nếu không logic backend sẽ tích tụ lặng lẽ trong mã cạnh UI mà không có kiểm duyệt thông thường.
Một trung gian phổ biến là BFF (Backend for Frontend): web app bao gồm lớp backend mỏng phù hợp với UI của nó (thường trong cùng repo).
Full-stack frameworks khuyến khích hướng này bằng cách làm cho việc thêm API routes, server actions và checks auth cạnh trang dùng chúng trở nên dễ dàng. Điều đó mạnh mẽ—vì vậy hãy coi nó như một backend thực thụ.
Tạo một doc ngắn trong repo (ví dụ /docs/architecture/boundaries) nêu rõ gì thuộc component, gì thuộc route handler, gì thuộc thư viện chia sẻ, kèm vài ví dụ.
Mục tiêu là nhất quán: mọi người biết đặt mã vào đâu—và không đặt vào đâu.
Full-stack frameworks có thể cảm giác như siêu năng lực: bạn xây UI, truy cập dữ liệu và hành vi server trong một workflow mạch lạc. Đó là lợi thế thực sự—nhưng nó cũng chuyển nơi phức tạp trú ngụ.
Thắng lợi lớn nhất là tốc độ. Khi pages, API routes và pattern lấy dữ liệu sống cùng nhau, các team thường giao feature nhanh hơn vì ít overhead phối hợp và ít bàn giao.
Bạn cũng ít gặp bug tích hợp hơn. Tooling chung (linting, formatting, type checking, test runner) và shared types giảm mismatch giữa cái frontend mong đợi và cái backend trả về.
Với setup kiểu monorepo, refactor an toàn hơn vì thay đổi lan qua stack trong một pull request.
Sự tiện lợi có thể che khuất độ phức tạp. Một component có thể render trên server, hydrate trên client, rồi trigger mutation server-side—debugging có thể đòi hỏi truy vết nhiều runtime, cache và ranh giới mạng.
Cũng có rủi ro coupling: dùng sâu convention của framework (routing, server actions, cache) có thể làm việc chuyển đổi công cụ tốn kém. Ngay cả khi bạn không có ý di chuyển, nâng cấp framework có thể trở thành việc hệ trọng.
Stacks hòa trộn có thể khuyến khích over-fetching (“lấy hết mọi thứ trong component server”) hoặc tạo waterfall request khi phụ thuộc dữ liệu phát hiện theo tuần tự.
Công việc server nặng trong thời gian render tăng độ trễ và chi phí hạ tầng—đặc biệt khi lưu lượng tăng đột biến.
Khi mã UI có thể thực thi trên server, quyền truy cập tới secrets, DB và API nội bộ gần hơn với lớp trình bày. Điều đó không xấu, nhưng thường kích hoạt kiểm tra bảo mật sâu hơn.
Kiểm tra quyền, audit logging, cư trú dữ liệu và kiểm soát tuân thủ cần rõ ràng và có thể test—không nên giả định vì mã “trông giống frontend”.
Full-stack frameworks làm cho việc đồng vị mọi thứ dễ dàng, nhưng “dễ” có thể thành rối.
Mục tiêu không phải tái tạo silo cũ—mà là giữ trách nhiệm đọc được để tính năng an toàn khi thay đổi.
Xem quy tắc nghiệp vụ như module riêng, độc lập với rendering và routing.
Quy tắc hay: nếu nó quyết định điều gì xảy ra (quy tắc giá, điều kiện đủ, chuyển trạng thái), thì nó nên nằm trong services/.
Điều này giữ UI mảnh và handlers server buồn tẻ—cả hai đều tốt.
Dù framework cho phép import mọi thứ ở bất cứ đâu, hãy dùng cấu trúc ba phần đơn giản:
Guardrail thực tế: UI chỉ import services/ và ui/; server handlers có thể import services/; chỉ repositories import DB client.
Khớp test với từng layer:
Ranh giới rõ ràng làm tests rẻ hơn vì bạn cô lập được thứ cần kiểm tra: quy tắc nghiệp vụ vs hạ tầng vs flow UI.
Thêm conventions nhẹ: quy tắc folder, hạn chế lint, và check “không DB trong component”.
Hầu hết team không cần quá nhiều quy trình—chỉ cần defaults nhất quán để ngăn coupling vô ý.
Khi full-stack frameworks gộp mối quan tâm UI và server vào một codebase, nút thắt thường chuyển từ “liệu chúng ta có thể nối được không?” sang “làm sao giữ ranh giới rõ ràng trong khi giao nhanh?”.
Koder.ai được thiết kế cho thực tế đó: một nền tảng vibe-coding nơi bạn có thể tạo web, server và ứng dụng mobile qua giao diện chat—vẫn kết thúc với mã nguồn thật, có thể xuất. Trong thực tế, điều đó nghĩa bạn có thể lặp trên tính năng đầu-cuối (routes, UI, server actions/API routes, và data access) trong một workflow, rồi áp các pattern ranh giới nói trên vào dự án được sinh.
Nếu bạn đang xây app full-stack điển hình, stack mặc định của Koder.ai (React cho web, Go + PostgreSQL cho backend, Flutter cho mobile) khớp tự nhiên với tách “UI / handlers / services / data access”. Các tính năng như planning mode, snapshots và rollback cũng hữu ích khi các thay đổi cấp framework (chế độ rendering, chiến lược cache, cách auth) lan tỏa khắp app.
Dù bạn viết tay hay tăng tốc bằng nền tảng như Koder.ai, bài học cốt lõi vẫn vậy: full-stack frameworks làm cho việc đồng vị mối quan tâm dễ hơn—vì thế bạn cần các quy ước có chủ ý để hệ thống dễ hiểu, an toàn và phát triển nhanh.
Truyền thống thì frontend là mã chạy trong trình duyệt (HTML/CSS/JS, hành vi UI, gọi API), còn backend là mã chạy trên máy chủ (logic nghiệp vụ, cơ sở dữ liệu, xác thực, tích hợp).
Các framework full-stack chủ động bao trùm cả hai: chúng vừa render UI vừa chạy mã server trong cùng một dự án, nên ranh giới trở thành một lựa chọn thiết kế (chạy cái gì ở đâu) hơn là hai codebase riêng biệt.
Một full-stack framework là framework web hỗ trợ cả kết xuất giao diện và hành vi phía server (routing, load dữ liệu, mutation, xác thực) trong cùng một app.
Ví dụ: Next.js, Remix, Nuxt, và SvelteKit. Điểm khác biệt là routes và pages thường nằm sát cạnh mã server mà chúng phụ thuộc vào.
Chúng giảm chi phí phối hợp. Thay vì làm một trang ở repo này và API ở repo kia, bạn có thể giao một tính năng đầu-cuối (route + UI + dữ liệu + mutation) trong một thay đổi duy nhất.
Điều này thường tăng tốc độ lặp và giảm lỗi tích hợp do giả định không khớp giữa các nhóm hoặc dự án.
Chúng biến việc kết xuất thành quyết định sản phẩm với hệ quả ở phía backend:
Chọn chế độ ảnh hưởng tới độ trễ, tải server, chiến lược cache và chi phí—vậy nên công việc “frontend” giờ bao gồm các đánh đổi kiểu backend.
Việc cache giờ là một phần của cách trang được xây và duy trì, không chỉ là cấu hình CDN:
Vì những lựa chọn này thường nằm cạnh mã route/page, các dev UI phải quyết định về độ mới, hiệu năng và chi phí hạ tầng cùng lúc.
Nhiều framework cho phép một route bao gồm:
Việc đặt gần nhau rất tiện, nhưng hãy xem route handlers là các điểm vào backend thực sự: validate input, kiểm tra auth, và giữ các quy tắc nghiệp vụ phức tạp trong lớp service/domain.
Vì mã có thể chạy ở nhiều nơi:
Quy tắc thực tế: gửi view models (chỉ trường UI cần), không gửi bản ghi DB thô để tránh rò rỉ như passwordHash, ghi chú nội bộ hoặc PII.
Shared TypeScript types giảm sai lệch hợp đồng: nếu server đổi trường, client có thể lỗi ngay khi build.
Nhưng chia sẻ trực tiếp mô hình domain/DB khắp nơi làm tăng coupling. Cách an toàn hơn:
Chúng khiến một cuộc gọi tới backend giống như gọi hàm cục bộ (vd. await createOrder(data)), framework lo việc serialize và transport.
Vẫn phải đối xử như điểm vào server công khai:
Các framework full-stack phân tán công việc auth khắp app vì request, rendering và truy cập dữ liệu cùng nằm trong dự án (thậm chí cùng file).
Thực thi authorization gần nơi truy cập/mutating dữ liệu, không tin vào input do client cung cấp, và nhớ rằng các trang SSR cũng cần kiểm tra server-side giống như API endpoints.