Так как создание API достаточно популярная задача, для удобства разработчика,, минификации доп проверок и лишнего кода их вынесли как отдельную сущность. Через файлы конфигурации выходит легко разграничить Middlware, аутентификации и тп, да и в целом разделения логики работы приложения стало легче.
Ах ну и да, по умолчанию у api отключены функции состояния приложения(грубо говоря сессии и ко), которые в случае API не нужны, так как здесь не непосредственное юзер обращается, а некое приложение клиент, которое на себя берет все мороку по передачи и поддержки состояний, если это необходимо.
