Situationsaufgabe: API-Design

Situationsaufgabe: API-Design – AP Teil 2 FIAE

REST-APIs sind der Klebstoff moderner Softwarearchitekturen – und im FIAE AP Teil 2 ein fester Bestandteil. Die Prüfung testet, ob du eine API sauber designen kannst: sinnvolle Endpunkte mit den richtigen HTTP-Methoden, korrekte Statuscodes, ein durchdachtes JSON-Schema und grundlegende Sicherheitsmaßnahmen. Diese Lektion arbeitet eine vollständige API-Situationsaufgabe durch.

1) Das Szenario

📋 Prüfungsszenario – REST API Design

Betrieb: Die TaskFlow GmbH entwickelt eine Projektmanagement-Webanwendung. Du sollst die REST-API für das Backend entwerfen.

Ressourcen und Anforderungen:

Projekte: CRUD – Projekte erstellen, abrufen (einzeln + alle), aktualisieren, löschen
Aufgaben (Tasks): gehören immer zu einem Projekt; CRUD; Status: offen, in_bearbeitung, abgeschlossen
Benutzer: können sich registrieren und einloggen; JWT-basierte Authentifizierung
Anforderung Security: Nur authentifizierte Benutzer dürfen Projekte und Tasks sehen/ändern
Anforderung Pagination: Beim Abrufen aller Projekte/Tasks soll Paginierung unterstützt werden

2) Teilaufgaben mit Musterlösungen

Situationsaufgabe – API-Design (Gesamtpunkte: 80)

a) Endpunkte entwerfen

b) JSON-Schema

c) Statuscodes

d) Authentifizierung

REST-Prüfungs-Tipp: Ressourcen sind immer Substantive (Plural), nie Verben. Nicht /getProjekte sondern /projekte. Aktionen werden durch HTTP-Methode ausgedrückt.

3) HTTP-Methoden – Prüfungsreferenz

HTTP-Methoden und ihre REST-Semantik

GETRessource abrufen – idempotent, sicher, kein Request-Body. Beispiel: GET /projekte/42 → gibt Projekt 42 zurück.

POSTNeue Ressource erstellen – nicht idempotent, Body mit Daten. Beispiel: POST /projekte → erstellt neues Projekt, gibt 201 Created zurück.

PUTRessource vollständig ersetzen – idempotent. Alle Felder im Body erforderlich. Beispiel: PUT /projekte/42 → ersetzt Projekt 42 komplett.

PATCHRessource teilweise aktualisieren – nur geänderte Felder im Body. Beispiel: PATCH /tasks/7 mit {"status":"abgeschlossen"}.

DELETERessource löschen – idempotent. Beispiel: DELETE /projekte/42 → löscht Projekt 42, gibt 204 No Content zurück.

4) HTTP-Statuscodes – Schnellreferenz

HTTP-Statuscodes für REST-APIs

2xx Erfolg

3xx Weiterleitung

4xx Client-Fehler

5xx Server-Fehler

5) REST-Prinzipien – Dos and Don'ts

❌ Falsch	✅ Richtig	Erklärung
`/getProjekte`	`GET /projekte`	Verben gehören nicht in die URL – die HTTP-Methode ist das Verb
`/projekt/erstellen`	`POST /projekte`	Aktion durch Methode ausdrücken, nicht durch URL
`/projekte/42/tasks/loeschen/7`	`DELETE /projekte/42/tasks/7`	Hierarchie sauber, Aktion durch DELETE-Methode
Alles mit POST	Passende Methode wählen	Idempotenz und Caching funktionieren nur bei korrekten Methoden
200 für alles	201 bei Create, 204 bei Delete	Korrekter Statuscode gibt Client wichtige Information
Passwort im GET-Parameter	POST mit Body, HTTPS	GET-Parameter landen in Logs und Browser-History

Zusammenfassung

REST-API-Aufgaben testen: (1) Endpunkt-Design mit Ressourcen-URLs (Substantive, plural), (2) HTTP-Methoden (GET/POST/PUT/PATCH/DELETE) korrekt eingesetzt, (3) Statuscodes (200, 201, 204, 400, 401, 403, 404, 500), (4) JSON-Schema mit sinnvollen Feldnamen und Datentypen, (5) Authentifizierung via JWT. Kein Verb in der URL. Idempotenz von GET, PUT, DELETE beachten.

Verwandte Lektionen: Situationsaufgabe Secure Coding · Situationsaufgabe Architektur · Situationsaufgabe Datenbank · und mehrWeitere relevante LektionenREST API Grundlagen Authentifizierung Prüfungssimulation FIAE