API-Versionierung

APIs leben. Sie wachsen, ändern sich, werden besser. Aber: Clients da draußen rufen weiter die alte API auf – Mobile Apps, die der User nicht updatet, Drittanbieter-Integrationen, automatisierte Skripte. Wenn du eine API änderst, ohne darauf zu achten, brichst du die Apps anderer Leute. Das ist die API-Versionierungs-Frage: wie entwickelst du eine API weiter, ohne deine Konsumenten zu verärgern?

Du kennst aus L3 bereits den groben Überblick über die drei Versionierungs-Strategien. Diese Lektion vertieft das Thema: wann ist eine Änderung „breaking"? Wie versioniert man richtig? Wie kündigt man alte Versionen ab? Welche Anti-Patterns sollte man vermeiden? Versionierung ist eines der wenigen Themen, bei dem die Wahl früh getroffen werden muss – nachträglich umstellen ist sehr teuer.

1) Breaking vs. Non-Breaking Changes

Bevor wir über Versionen reden, müssen wir die Grenze ziehen: was ist eine brechende Änderung, was nicht? Eine Breaking Change ist jede Änderung, die alte Clients zum Scheitern bringt. Eine Non-Breaking Change ist eine Erweiterung, mit der alte Clients problemlos weiterleben.

Welche Änderungen brechen Clients, welche nicht?

Feld umbenennen

{ "name": "Anna", "email": "a@x.de" }

→

{ "vollname": "Anna", "email": "a@x.de" } BREAKING ✗

Neues optionales Feld hinzufügen

{ "name": "Anna" }

→

{ "name": "Anna", "avatar": "..." } OK ✓

Feld zur Pflicht machen (bei POST)

POST /users
{ "email": "a@x.de" } ← funktioniert

→

jetzt ist "telefon" Pflicht → 400 Bad Request BREAKING ✗

Datentyp ändern

{ "alter": 28 } ← Number

→

{ "alter": "28" } ← String BREAKING ✗

Statuscode wechseln

DELETE /users/7 → 204 No Content

→

DELETE /users/7 → 200 OK + Body BREAKING ✗

Neuen Endpunkt hinzufügen

/api/v1/products

→

/api/v1/products + /api/v1/categories OK ✓

Endpunkt entfernen

GET /api/legacy/users

→

404 Not Found BREAKING ✗

Faustregel zur Erkennung: würde ein alter Client noch funktionieren? Ja → non-breaking, einfach machen. Nein → breaking, neue Version nötig. Häufig unterschätzt: ein neues Pflicht-Feld ist breaking, ein optionales nicht. Strenger werdende Validierung („E-Mail muss jetzt verifiziert sein") ist breaking. Selbst eine kleine Umformulierung im JSON-Schlüssel von created_at zu createdAt ist breaking.

2) Semantic Versioning (SemVer) – der Quasi-Standard

SemVer ist die etablierte Konvention zur Vergabe von Versionsnummern. Format: MAJOR.MINOR.PATCH, z.B. 2.5.3. Jede Stelle hat eine klare Bedeutung. Klick auf die Zahlen, um zu sehen, was sie bedeuten:

Semantic Versioning – die drei Zahlen

2.5.3

MAJOR (2)

Breaking Change. Inkompatibel mit Vorgängern. Alte Clients brechen. Hochzählen!

MINOR (5)

Neue Features, abwärtskompatibel. Alte Clients laufen weiter, neue können mehr.

PATCH (3)

Bugfix, kein Verhaltens-Wechsel. Alte und neue Clients funktionieren gleich.

In der Praxis bei APIs: meist wird nur die MAJOR-Version in der URL sichtbar gemacht: /api/v2/.... MINOR und PATCH ändern sich, ohne dass Clients was merken. Das passt: nur Breaking Changes erfordern eine neue Version – alles andere kann „still" ausgerollt werden. Hinweis: SemVer kommt eigentlich aus der Welt der Libraries, wird aber auf APIs übertragen. Genau definiert auf semver.org.

3) Die drei Strategien im Detail

In L3 haben wir sie kurz angerissen – jetzt im Detail mit konkreten Beispielen, Vor- und Nachteilen:

Versionierungs-Strategien im direkten Vergleich

1. URL-Versionierungam häufigsten

GET /api/v1/products/42 GET /api/v2/products/42

Die Major-Version steckt direkt im Pfad. Jede Version ist eine eigene URL, leicht zu testen, leicht zu cachen, leicht im Browser zu öffnen.

+ Sichtbar, einfach zu debuggen

– URLs ändern sich pro Version

+ Browser, Postman, curl trivial

– Theoretisch unsauber laut REST

2. Header-VersionierungREST-puristisch

GET /api/products/42 Accept: application/vnd.shop.v2+json

Version steckt im Accept-Header (Custom-Media-Type) oder einem eigenen Header wie API-Version: 2. URL bleibt stabil – nur die Repräsentation ändert sich.

+ URL stabil, theoretisch sauber

– Versteckt, schwer im Browser zu testen

+ Mehrere Versionen für eine URL

– Caching komplizierter (Vary-Header)

3. Query-Parameterselten

GET /api/products/42?version=2

Version als URL-Parameter. Selten verwendet, aber praktisch in Migrations-Szenarien oder zum schnellen Testen.

+ Sehr leicht zu schalten

– Konflikt mit anderen Query-Parametern

+ Default-Version möglich

– Caching schwierig

In der Praxis: URL-Versionierung dominiert. GitHub, Stripe, Twilio – alle nutzen sie. Header-Versionierung gilt theoretisch als „REST-konformer", weil die URL eine Ressource identifiziert und nicht deren Repräsentation. Aber Pragmatik gewinnt: /v1/users versteht jeder, jedes Tool, jede Doku. Query-Versionierung sieht man fast nur als Übergangslösung. Wichtigste Regel: eine Strategie konsequent durchhalten.

4) Deprecation: alte Versionen abkündigen

Eine neue Version erstellen ist die eine Sache. Aber wie wirst du irgendwann die alte wieder los? Du kannst nicht endlos beide pflegen. Hier hilft Deprecation – ein strukturierter Prozess, der den Konsumenten klar macht: „diese Version verschwindet bald".

Versionierungs-Lebenszyklus

Zwischen „v2 ist da" und „v1 abgeschaltet" liegt typischerweise eine Übergangsphase von 6 bis 12 Monaten. In dieser Zeit funktionieren beide Versionen parallel. Die alte Version wird offiziell als deprecated markiert: in der Doku, mit einem Header (Deprecation: true, Sunset: 2026-12-31) in jeder Antwort, mit einer Migrationsanleitung, mit Notification-Mails an registrierte API-Konsumenten. Erst am EOL-Datum (End of Life) wird der Server tatsächlich auf 410 Gone oder eine Hinweis-Seite umgeschaltet.

Standardisierte Mechanismen für Deprecation-Hinweise: der Deprecation-Header in der Antwort, der den Konsumenten markiert, dass dieser Endpunkt veraltet ist. Optional ein Sunset-Header mit dem konkreten Abschaltdatum. Diese Header sind in RFCs definiert und werden von Tools wie Postman erkannt.

5) Strategien zur Migrationsförderung

Damit Konsumenten überhaupt migrieren, müssen sie es wissen und einen Grund haben. Bewährte Praktiken:

Migrationsleitfaden veröffentlichen: was ändert sich von v1 zu v2? Mit Code-Beispielen.
Changelog pflegen: jedes Release mit Datum und Änderungen.
Deprecation-Header senden: Maschinen-lesbar.
E-Mail-Benachrichtigungen: an API-Key-Inhaber mehrfach vor EOL.
Statistiken pflegen: welche Clients nutzen noch v1? Wer? Wie aktiv?
SDKs aktualisieren: wenn ihr offizielle Client-Libraries habt, diese auf v2 stellen – das migriert die meisten Konsumenten automatisch.
Kurze EOL-Frist androhen, lang einplanen: „Wir kündigen 6 Monate vorher an" – Wirklichkeit: 12 Monate. So bleibst du höflich und kalkulierst Pufferzeit ein.

6) Anti-Patterns – wie man's nicht macht

Versionierungs-Sünden

✗ Keine Version, alles direkt

URL ohne Version. Beim ersten Breaking Change brichst du alle Clients gleichzeitig. Klassischer Junior-Fehler.

✗ Version pro Endpunkt

/users/v1, /products/v3, /orders/v2 – Chaos für Konsumenten. Ein Major-Version-Schwung gilt für die ganze API.

✗ v1 → v2 → v3 → v4 in 6 Monaten

Zu häufige Major-Versionen sind ein Zeichen für instabilen Entwurf. Lieber MINOR-Updates abwärtskompatibel.

✗ Mehrere Strategien mischen

URL UND Header UND Query – Konsumenten verlieren den Überblick. Eine Strategie, konsequent.

✗ Endlose Pflege alter Versionen

v1, v2, v3, v4 parallel = vier Codepfade zu warten. Saubere EOLs sind Selbstschutz.

✓ Versionieren ab Tag 1

Auch wenn dein Launch-Endpunkt /api/v1/ heißt – kostet nichts und spart dich später Schmerzen.

✓ Lieber MINOR-Updates

Statt Breaking Changes → optionales neues Feld, alten Endpunkt parallel halten, neuen daneben anbieten.

✓ Default-Version festlegen

Wer ohne Version anfragt, bekommt eine festgelegte Default-Version (meist nicht die neueste, sondern die stabile).

7) Migrations-Hilfen für Konsumenten

Wenn du Konsumenten freundlich behandelst, migrieren sie auch schneller. Diese Hilfen sind in der Praxis Gold wert:

Side-by-Side-Vergleich: Tabelle mit v1-Anfrage vs. v2-Anfrage, v1-Antwort vs. v2-Antwort, Diff-Markierungen.
Migration-Skripte: kleine Skripte, die typische Client-Konfigurationen umschreiben.
Backwards-Kompatibilitäts-Layer: dein Server akzeptiert in v2 auch noch alte v1-Felder und übersetzt sie intern (temporär).
Sandbox: eine Testumgebung mit beiden Versionen, ohne dass Live-Daten betroffen sind.
Dual-Write-Period: ein Zeitfenster, in dem alle Schreibvorgänge in beide Versionen geschrieben werden – falls jemand zurückrollen muss.

8) Praxis-Beispiele großer APIs

Wie machen es die Großen? Spannend zu beobachten:

GitHub nutzt URL-Versionierung (api.github.com/v3) und parallel eine GraphQL-API als „v4". Deprecations werden Monate vorher per Header und in Newslettern angekündigt.
Stripe verwendet Datum-basierte Versionierung über Header (Stripe-Version: 2023-10-16). Praktisch: jede Änderung hat ein Datum, Migrationen sind glasklar zuzuordnen.
Twilio hat /2010-04-01/ als Datums-Version in der URL – ähnlicher Ansatz wie Stripe, aber in der URL statt im Header.
Google APIs nutzen oft URL-Versionierung wie youtube/v3, calendar/v3 – einheitlich für jede Sub-API.

9) Klausurrelevante Punkte

Was ist eine Breaking Change? – Beispiele kennen.
SemVer-Schema – MAJOR.MINOR.PATCH erklären können.
Drei Versionierungs-Strategien – URL, Header, Query mit je einem Beispiel.
Warum versionieren? – Antwort: um alte Clients nicht zu brechen.
Deprecation-Prozess – wie kündigt man eine alte Version ab?

Zusammenfassung

APIs entwickeln sich weiter – aber alte Clients dürfen nicht brechen. Breaking Change: Änderungen, die alte Clients zum Scheitern bringen (Feld umbenennen, Datentyp ändern, Pflichtfelder ergänzen, Endpunkte entfernen). Non-Breaking: Erweiterungen, die alte Clients ignorieren (optionale neue Felder, neue Endpunkte). Faustregel: „Würde mein alter Client noch funktionieren?" SemVer-Schema: MAJOR (Breaking) . MINOR (neue Features) . PATCH (Bugfix). In APIs meist nur MAJOR in der URL sichtbar. Drei Versionierungs-Strategien: URL-Versionierung (/api/v1/... – Standard, sichtbar), Header-Versionierung (theoretisch sauberer, versteckter), Query-Parameter (selten). Praxis-Empfehlung: URL-Versionierung. Deprecation-Lebenszyklus: v2 launchen → v1 als deprecated markieren (Header Deprecation, Sunset) → 6-12 Monate Übergang → EOL. Anti-Patterns: keine Version ab Tag 1, Version pro Endpunkt, mehrere Strategien mischen, endlos alte Versionen pflegen. Klausur-Fokus: Breaking-Change-Beispiele, SemVer-Schema, drei Strategien, Deprecation-Prozess. Nächste Lektion: Rate Limiting und Throttling.