HTTP-Methoden und Statuscodes vertieft

In L1 hast du gesehen, dass REST auf HTTP aufbaut. In K50 L8 haben wir die Grundverben GET, POST, PUT, PATCH, DELETE und ein paar Statuscodes kennengelernt. Diese Lektion geht in die Tiefe: alle HTTP-Methoden mit ihren Eigenschaften (sicher / idempotent), die kompletten Statuscode-Familien, die wichtigsten Header und die typischen Fallstricke der Praxis.

Warum so genau? Weil in einer professionellen REST-API jeder Statuscode, jeder Header und jede Methode genau das richtige Signal sendet. Wer hier nachlässig ist, produziert APIs, die schwer zu bedienen sind, mit Caches Probleme haben, und sich auf merkwürdige Weise verhalten – Bugs, die in der Klausur und im Berufsalltag beide Punkte kosten.

1) Die HTTP-Methoden-Matrix

HTTP definiert mehr als die fünf REST-Klassiker. Jede Methode hat klar definierte Eigenschaften – ob sie Daten verändert (safe), ob mehrfaches Ausführen denselben Effekt hat (idempotent) und ob sie einen Body haben darf. Diese Eigenschaften sind keine bloße Theorie: sie steuern, ob Browser cachen, ob Proxies wiederholen dürfen, ob Netzwerk-Tools Retries machen.

Alle HTTP-Methoden mit ihren Eigenschaften

Methode	Bedeutung	Safe?	Idempotent?	Body?	Cachebar?
GET	Ressource lesen	ja	ja	nein	ja
HEAD	Nur Header lesen (ohne Body)	ja	ja	nein	ja
OPTIONS	Erlaubte Methoden / CORS-Preflight	ja	ja	opt.	nein
POST	Neue Ressource erstellen	nein	nein	ja	teils
PUT	Ressource komplett ersetzen	nein	ja	ja	nein
PATCH	Ressource teilweise ändern	nein	nicht garantiert	ja	nein
DELETE	Ressource löschen	nein	ja	opt.	nein

Safe heißt: die Methode verändert auf dem Server nichts. Idempotent heißt: zweimal ausführen hat denselben Effekt wie einmal. HEAD ist ein praktischer Sonderling – wie GET, aber ohne Body. Nützlich, um die Größe eines Downloads zu prüfen, ohne ihn ganz zu ziehen. OPTIONS wird vom Browser automatisch als CORS-Preflight gesendet, bevor er eine fremde API aufruft – das ist der Grund, warum diese Methode in der API erlaubt sein muss. PATCH ist nicht per se idempotent: hängt davon ab, wie der Patch formuliert ist. „Setze Preis auf 9,99" ist idempotent, „Erhöhe Preis um 1,00" ist es nicht.

2) Idempotenz konkret – warum sie wichtig ist

Idempotenz klingt akademisch, ist aber im echten Leben Gold wert. Stell dir vor, dein Browser schickt POST /payments ab, um 100 € zu überweisen. Das Netz hängt, du klickst noch mal. Soll die Bank jetzt 200 € abbuchen? Nein – ein gutes Design verhindert das. Genau das macht Idempotenz: derselbe Aufruf mehrfach hat denselben Effekt wie einmal.

Eine Analogie: ein Lichtschalter hat zwei idempotente Operationen – „auf An stellen" und „auf Aus stellen". Wer den Schalter zehnmal auf An stellt, hat dasselbe Ergebnis wie wer ihn einmal auf An stellt. Nicht idempotent wäre dagegen „Schalter umlegen" – das Ergebnis hängt davon ab, wie oft man's macht.

Idempotenz im Vergleich: PUT vs. POST

✓ PUT /products/42 (idempotent)

Datenbank: Produkt 42 = "Notizbuch"

Egal wie oft du PUT mit demselben Body sendest – das Ergebnis ist dasselbe.

✗ POST /products (nicht idempotent)

Datenbank: 0 neue Produkte

Jeder POST erzeugt eine neue Ressource. Mehrfach-Klick = mehrfache Anlage.

Folgen für die Praxis: bei einem Netzwerk-Timeout darf ein Client einen PUT, GET, DELETE oder HEAD gefahrlos wiederholen. Einen POST nicht – das könnte zu Doppelanlagen führen. Genau deshalb bauen ernsthafte Systeme einen Idempotency-Key-Header ein: der Client schickt einen eindeutigen Wert mit, der Server merkt sich „diesen Key habe ich schon verarbeitet" und liefert beim zweiten Aufruf einfach die alte Antwort. Stripe macht das genau so für Zahlungen.

3) Die Statuscode-Landkarte

HTTP-Statuscodes sind dreistellige Zahlen, gruppiert nach der ersten Ziffer. In K50 L8 haben wir die wichtigsten kennengelernt – hier eine erweiterte Karte mit den Codes, die in echten APIs regelmäßig auftauchen:

HTTP-Statuscodes nach Gruppen

2xx – Erfolg

200

OK – Standard-Erfolg

201

Created – nach POST

202

Accepted – async ok

204

No Content – ok ohne Body

206

Partial Content – Range

3xx – Umleitung

301

Moved Permanently

302

Found – temporär

304

Not Modified – Cache ok

307

Temporary Redirect

308

Permanent Redirect

4xx – Client-Fehler

400

Bad Request

401

Unauthorized – Auth fehlt

403

Forbidden – keine Berechtigung

404

Not Found

405

Method Not Allowed

409

Conflict – z.B. Duplikat

422

Unprocessable Entity

429

Too Many Requests

5xx – Server-Fehler

500

Internal Server Error

501

Not Implemented

502

Bad Gateway

503

Service Unavailable

504

Gateway Timeout

Eselsbrücke: 4xx = du (Client) bist schuld, 5xx = ich (Server) bin schuld. Wer mit 200 OK auf einen Fehler antwortet, bricht das Web – Browser, Caches und Logs interpretieren 2xx als „alles gut". Auch im Frontend macht das den Unterschied: fetch() wirft bei einem 500 keinen Fehler, sondern liefert das Response-Objekt mit response.ok === false. Wer das nicht prüft, hat schnell Bugs.

4) Die wichtigsten Codes im Detail

Einige Codes sind so wichtig, dass sie ihre eigenen Eigenheiten haben. Diese sind klausurrelevant und tauchen täglich im Berufsalltag auf:

201 Created vs. 200 OK: nach erfolgreichem POST ist 201 die richtige Antwort – plus ein Location-Header mit der URL der neu erstellten Ressource. 200 OK ist zwar nicht falsch, aber weniger präzise.
204 No Content: erfolgreich, aber kein Body. Standard nach DELETE und manchmal nach PUT. Spart Bandbreite, signalisiert klar: alles ok, nichts mehr zu sagen.
304 Not Modified: der Client hatte mit If-None-Match oder If-Modified-Since nach einer aktuellen Version gefragt. Antwort: „du hast schon die aktuelle Version, nutz deinen Cache." Spart massiv Bandbreite.
401 vs. 403: 401 Unauthorized heißt „ich weiß nicht, wer du bist" (Token fehlt / abgelaufen). 403 Forbidden heißt „ich weiß, wer du bist, aber du darfst das nicht". Häufig verwechselt – siehe auch L4 Authentifizierung.
422 Unprocessable Entity: die Anfrage ist syntaktisch ok (gültiges JSON), aber semantisch falsch (z.B. „E-Mail-Adresse ohne @"). Klare Unterscheidung zu 400 (Bad Request = schon Syntax kaputt).
429 Too Many Requests: Rate-Limit überschritten – siehe L8. Antwort enthält oft den Header Retry-After.
503 Service Unavailable: Server ist überlastet oder in Wartung. Vorübergehend – Client darf später erneut versuchen.

5) HTTP-Header – die unterschätzte Hälfte

Eine HTTP-Nachricht hat nicht nur Methode, URL, Statuscode und Body. Sie hat auch Header – Schlüssel-Wert-Paare mit Metadaten. In professionellen APIs spielen sie eine zentrale Rolle: Authentifizierung, Format-Verhandlung, Caching, Rate-Limiting, Tracing – all das läuft über Header. Hier die wichtigsten:

Die wichtigsten HTTP-Header

Content-Type

Format des Bodys. Beispiel: application/json, application/xml, text/csv. Pflicht bei POST/PUT/PATCH.

Welches Format will der Client zurück? Server kann darauf reagieren (Content Negotiation). Beispiel: Accept: application/json.

Authorization

Authentifizierungs-Daten. Typisch Bearer <token> für JWT oder Basic <base64> für Basic Auth.

User-Agent

Identifiziert den Client. Browser senden „Mozilla/5.0 …", APIs erwarten oft einen sprechenden Namen.

Cache-Control

Caching-Verhalten steuern. Beispiel: max-age=3600 (1 Stunde cachen), no-store (gar nicht cachen).

ETag & If-None-Match

Versionierungs-Hash der Ressource. Erlaubt 304 Not Modified-Optimierung.

Location

Bei 201 Created: URL der neuen Ressource. Bei 3xx: Ziel der Umleitung.

Retry-After

Bei 429 oder 503: Anzahl Sekunden bis zum nächsten Versuch.

X-Request-ID

Eindeutige ID pro Anfrage – für Tracing & Logging in verteilten Systemen unverzichtbar.

Beachte: Header mit X--Präfix waren früher die Konvention für „eigene" Header. Heute (RFC 6648) gilt das als überholt – die Konvention ist, einfach beschreibende Namen ohne X- zu nutzen. Du wirst aber noch viele X-Header in der Praxis sehen, weil sie historisch gewachsen sind. Authorization ist trotz des amerikanischen Namens das Standard-Header für Authentifizierung – ein bekanntes Stück Verwirrung in der HTTP-Welt.

6) Ein vollständiger Request mit allen Bestandteilen

Schauen wir uns einen realistischen API-Request mit allen Bestandteilen an – Request-Line, Header, Body und die zugehörige Response. So sieht das aus, wenn ein Client ein neues Produkt anlegt:

Vollständige POST-Anfrage mit Response

# Request POST /api/products HTTP/1.1 Host: shop.example.com Content-Type: application/json Accept: application/json Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... User-Agent: MyShopApp/1.0 X-Request-ID: 4a8c-2f31-bb09 Idempotency-Key: order-abc-001 { "name": "Notizbuch A5", "preis": 7.90, "kategorien": ["Büro", "Schule"] } # Response HTTP/1.1 201 Created Content-Type: application/json Location: /api/products/42 X-Request-ID: 4a8c-2f31-bb09 { "id": 42, "name": "Notizbuch A5", "preis": 7.90, "kategorien": ["Büro", "Schule"], "erstellt_am": "2026-05-17T14:23:00Z" }

Beachte den Aufbau: erst Method + URL + HTTP-Version, dann Header (jeweils Name: Wert), dann eine Leerzeile, dann der Body. Bei der Response dasselbe mit Status-Zeile statt Method. Der Location-Header in der Antwort gibt die URL der neu angelegten Ressource zurück – Standard bei 201. Die X-Request-ID wird vom Server „durchgereicht", damit sich Logs auf beiden Seiten korrelieren lassen.

7) Method-Quiz: was ist die richtige Antwort?

Teste dich selbst – welcher Statuscode passt jeweils? Wähle aus den Optionen:

Status-Code-Quiz

Client schickt POST /api/users mit gültigem Body. Der Server legt einen neuen User an.

Richtig ist 201 Created. Mit Location-Header auf die neue Ressource. 200 wäre zwar verständlich, ist aber weniger präzise.

Client schickt GET /api/products/99999. Dieses Produkt existiert nicht.

404 Not Found. Häufiger Fehler: 200 mit „error: not found" im Body – das verstößt gegen REST und verwirrt Caches.

Client schickt eine Anfrage ohne Authorization-Header. Endpunkt ist geschützt.

401 Unauthorized = „Auth fehlt". Wäre der User angemeldet, aber ohne Berechtigung, wäre es 403.

Client versucht, einen User mit E-Mail-Adresse anzulegen, die schon existiert.

409 Conflict ist der ideale Code für Konflikte mit dem aktuellen Zustand – z.B. Duplikate. 400 wäre der Fallback, aber 409 ist präziser.

Client hat sein Stundenlimit von 1000 Anfragen überschritten.

429 Too Many Requests, oft mit Retry-After-Header. Mehr in L8.

Wer alle 5 richtig hat, ist sicher in den HTTP-Codes. Wer Schwierigkeiten hatte: notiere dir Statuscode-Familien als Tabelle und lerne sie als Block. In der IHK-Prüfung kommen genau diese Codes regelmäßig vor.

8) Häufige Fehler in der Praxis

Diese Anti-Patterns siehst du in „okay" APIs, in „guten" APIs nicht. Sie kosten in IHK-Klausuren Punkte und im Berufsalltag Nerven:

200 OK bei Fehlern. „Der Server hat ja geantwortet" – nein, der Server muss auch sagen, ob's geklappt hat. Statuscodes sind dazu da.
POST für alles. „Ich nutze immer POST, weil ich Body senden kann" – verstößt gegen REST. PUT, PATCH, DELETE haben jeweils eigene Bedeutung und Eigenschaften (Idempotenz).
Verben in der URL. /getProduct/42 oder /deleteUser/7. URL = Substantiv, Verb = HTTP-Methode. Faustregel aus K50 L8.
Fehlende Content-Type-Header. Client schickt JSON ohne Content-Type: application/json – Server parst es als Form-Data. Häufiger Bug in handgeschriebenen Clients.
500 statt 400. Server bekommt ungültiges JSON und antwortet mit „Internal Server Error" – sollte 400 sein, weil der Client schuld ist.
Eigene Status-Wörter im Body. {"success": true} oder {"status": "error"} – ist redundant zum HTTP-Statuscode und führt zu Inkonsistenzen.

9) CORS – warum Browser besondere Regeln haben

Ein Thema, das früher oder später jeden API-Entwickler trifft: CORS (Cross-Origin Resource Sharing). Browser haben eine Sicherheitsregel namens Same-Origin Policy: eine Webseite auf shop.example.com darf standardmäßig keine Anfragen an api.example.com stellen. Das schützt vor diversen Angriffen.

Wenn deine API von einer anderen Domain aufgerufen werden soll, muss der Server CORS-Header setzen, die das ausdrücklich erlauben. Wichtigster Header: Access-Control-Allow-Origin. Der Browser sendet vor potentiell „gefährlichen" Aufrufen (z.B. POST mit JSON-Body) eine OPTIONS-Preflight-Anfrage – die API muss die richtigen CORS-Header zurückgeben, sonst blockt der Browser den eigentlichen Aufruf.

Wichtig zu wissen: CORS ist eine Browser-Sicherheit. Curl, Postman, dein Backend ignorieren CORS komplett. Wenn deine API in Postman funktioniert, aber im Browser nicht – CORS ist meist die Antwort. Vertiefung in K11 Secure Coding.

10) Zusammenfassung für die Klausur

Was du aus dieser Lektion mitnehmen solltest, kompakt:

7 HTTP-Methoden: GET, HEAD, OPTIONS, POST, PUT, PATCH, DELETE. Eigenschaften: safe (verändert nichts) und idempotent (mehrfach = einmal).
Idempotent: GET, HEAD, OPTIONS, PUT, DELETE. Nicht idempotent: POST. PATCH je nach Implementierung.
4 Statuscode-Gruppen: 2xx Erfolg, 3xx Umleitung, 4xx Client-Fehler, 5xx Server-Fehler. Faustregel: 4xx = du, 5xx = ich.
Wichtigste Codes: 200, 201, 204, 301, 304, 400, 401, 403, 404, 409, 422, 429, 500, 503.
401 vs. 403: 401 = nicht eingeloggt, 403 = eingeloggt aber keine Rechte.
Wichtigste Header: Content-Type, Accept, Authorization, Cache-Control, ETag, Location, Retry-After.
CORS: Browser-Sicherheit gegen cross-origin Aufrufe. OPTIONS-Preflight + Access-Control-Allow-Origin.

Zusammenfassung

HTTP hat 7 Methoden: GET, HEAD, OPTIONS (alle safe und idempotent), POST (erstellen, nicht idempotent), PUT (ersetzen, idempotent), PATCH (teil-ändern), DELETE (idempotent). Safe = verändert nichts. Idempotent = mehrfaches = einmaliges Ausführen. Der Idempotency-Key-Header schützt POSTs vor Duplikaten (z.B. Zahlungen). Statuscode-Gruppen: 2xx Erfolg (200/201/204), 3xx Umleitung (301, 304), 4xx Client-Fehler (400/401/403/404/409/422/429), 5xx Server-Fehler (500/502/503). 401 vs. 403: 401 = Auth fehlt, 403 = keine Berechtigung. Niemals 200 bei Fehlern. Wichtige Header: Content-Type, Accept, Authorization, Cache-Control, ETag, Location, Retry-After, X-Request-ID. CORS: Browser-Sicherheit gegen Cross-Origin-Aufrufe, OPTIONS-Preflight + Access-Control-Allow-Origin. Mehr Sicherheit in K11 Secure Coding. Nächste Lektion: RESTful API designen.