Tabla de contenidos
En el desarrollo de aplicaciones modernas, llega un momento clave: decidir dónde alojar tu API.
Las dos opciones más comunes son:
- Subdominio: api.tu-dominio.com
- Subdirectorio: tu-dominio.com/api
Aunque a simple vista parecen equivalentes, tienen diferencias técnicas y estratégicas que pueden impactar en el rendimiento, la seguridad y la escalabilidad de tu proyecto.
En este artículo analizamos las ventajas e inconvenientes de cada enfoque, con recomendaciones según el caso de uso.
Comparativa rápida
| Criterio | Subdominio (api.tu-dominio.com) | Subdirectorio (tu-dominio.com/api) |
|---|---|---|
| Aislamiento técnico | Alto: infraestructura separada | Medio: comparte hosting con la web |
| CORS & cookies | Necesario configurar CORS, cookies no compartidas por defecto | Sin CORS, cookies y sesiones funcionan directamente |
| Seguridad | Políticas y WAF dedicados | Seguridad compartida con la web |
| CDN / Cache | Reglas independientes | Reglas compartidas (cuidado con interferencias) |
| TLS | Certificados por subdominio (o wildcard) | Un solo certificado |
| SEO | No afecta (APIs no aportan ranking) | Igual, pero errores pueden impactar en la web |
| DevOps | Despliegues y escalado independientes | Simplicidad de pipeline único |
| Migraciones | Muy fácil mover a otra infraestructura | Requiere cambios en proxy/rutas |
Subdominio
Ventajas
- Aislamiento fuerte: tráfico, seguridad y despliegues independientes.
- Escalabilidad: fácil migrar la API a otra infraestructura o proveedor.
- Analítica clara: métricas separadas por host.
- Más profesional para APIs públicas o de terceros.
Inconvenientes
- Requiere configuración CORS en el frontend.
- Gestión de certificados TLS y DNS adicionales.
- Cookies no se comparten automáticamente.
Directorio Virtual
Ventajas
- Sin CORS: mismo origen, ideal para SPAs o SSR.
- Sesiones y cookies funcionan out-of-the-box.
- Infraestructura más simple (un cert, un host).
- Perfecto para un MVP rápido.
Inconvenientes
- Menor aislamiento: un pico de tráfico en la API puede afectar a la web.
- Cache/CDN y reglas de seguridad más delicadas.
- Migrar la API después puede ser más complejo.
Detalles prácticos
CORS
- Subdominio: configurar Access-Control-Allow-Origin (evita * si usas credenciales).
- Subdirectorio: no es necesario.
Cookies y CSRF
- Subdirectorio: funcionan por defecto con SameSite=Lax/Strict.
- Subdominio: debes configurar domain=.tu-dominio.com y SameSite=None; Secure.
CDN
- Subdominio: distribución independiente, sin riesgo para la web.
- Subdirectorio: define reglas /api/* para evitar cachear HTML.
TLS/HSTS
- Subdominio: usar wildcard (*.tu-dominio.com) o certs separados.
- Subdirectorio: un solo cert cubre todo.
Recomendaciones
- ¿API pública o móvil? → Subdominio.
- ¿Una sola SPA con sesiones? → Directorio virtual.
- ¿Compliance/seguridad estricta? → Subdominio.
- ¿MVP rápido y sencillo? → Directorio virtual.
- ¿Escalado independiente futuro? → Subdominio.
Conclusión
La elección entre subdominio y directorio virtual depende de tu caso de uso:
- Si buscas simplicidad y rapidez, el subdirectorio es la mejor opción inicial.
- Si necesitas escalabilidad, seguridad y profesionalidad, apuesta por un subdominio.
Lo más importante es planificar con visión a futuro: si prevés que tu API será consumida por terceros, empieza directamente en un subdominio para evitar migraciones complejas.
Comentarios
Aún no hay comentarios. ¡Sé el primero en opinar!