Как добавить проверку прав в микросервисной архитектуре?

Использую API gateway, авторизация с помощью oauth2 keycloak, и дальше запрос попадает в нужный микросервис, но добавляется логика, что все микросервисы должны обращаться к одному из микросервисов и проверять, есть ли доступ у пользователя(расширенный или простой просмотр), так как он отвечает за эту информацию, хранить копию в каждом сервисе не хотелось бы, и вот у меня была мысль, что можно в API gateway добавить запрос в этот сервис и добавить информацию к пользователю, если сервис недоступен, то простой просмотр у пользователя по дефолту. На это предложение был аргумент, что логики на гейтвее не должно быть. Кто как решает такую проблему?