Her iki yolun uygulanmasıda mümkün. Spring security ile oauth2 uygulanarak yine bir auth mekanizması kurulabilir. Burada ki amaç auth-server'a olan bağımlılığı azaltıp merkeziyetsiz bir yapı kullanarak hem performans hemde bağımsızlık adına yapılandırılmış bir çözümdür. Her zaman farklı senaryolar ve ihtiyaçlar için farklı mekanizmalar kurulabilir. Şuraya göz atabilirsiniz: https://www.baeldung.com/spring-cloud-gateway-oauth2