Was ist eine API (Anwendungsprogrammierschnittstelle)?

Der Begriff „API“ steht für Application Programming Interface (Anwendungsprogrammierschnittstelle). APIs fungieren als Brücken zwischen Anwendungen und ermöglichen deren Kommunikation sowie den Austausch von Daten. Ein Beispiel: Ein Dashboard, das ein Marketingteam zur Verwaltung mehrerer Social-Media-Konten nutzt, basiert auf APIs, die die Social-Media-Plattformen des Unternehmens mit der Dashboard-Oberfläche verbinden und relevante Daten abrufen.

Auch alltägliche Internetnutzer profitieren ständig von APIs – oft ohne es zu bemerken. APIs verbinden öffentliche Datenquellen, wie Wetterdienste, mit kommerziellen Apps, um beispielsweise vor herannahenden Stürmen zu warnen. Entwickler greifen regelmäßig auf die Google Maps API zu, um Karten- und Standortfunktionen in ihre Websites einzubetten. Einzelhändler wiederum verwenden API-basierte Zahlungsschnittstellen wie PayPal oder Stripe, um Finanztransaktionen mit Kunden sicher abzuwickeln.

Was ist eine API?

Eine API („Application Programming Interface“) ist eine Sammlung von Regeln und Protokollen, die es Anwendungen ermöglicht, Daten auszutauschen, Aktionen auszuführen und auf eine klar dokumentierte Weise miteinander zu interagieren. Wenn eine Anfrage gestellt wird – beispielsweise für eine Wetteraktualisierung – verarbeitet die API diese Anfrage, führt die erforderlichen Aktionen aus und liefert eine Antwort zurück, in der Regel in einem Standardformat wie den von JSON oder XML definierten Formaten.

Wichtige Erkenntnisse

• Eine API fungiert als Vermittler, der es zwei Softwareprogrammen ermöglicht, miteinander zu kommunizieren, und definiert, wie sie Daten oder Funktionen anfordern und empfangen.
• APIs sind unverzichtbar für die Entwicklung moderner Softwareanwendungen, die Informationen austauschen und vernetzt arbeiten.
• Sie spielen zudem eine zentrale Rolle bei der Nutzung von Cloud-Services, da sie deren Integration und den Datenaustausch mit lokal installierter Software ermöglichen.

APIs einfach erklärt

Mit APIs können Entwickler auf Softwareplattformen und -services direkt aus ihren Anwendungen zugreifen. Ohne APIs müssten Daten jedes Mal manuell von einer Anwendung exportiert, aufbereitet und in eine andere Anwendung importiert werden –wie z. B., wenn ein Benutzer das Wetter prüfen oder auf einen Kommentar in einem sozialen Netzwerk antworten möchte.

Einfach gesagt, sind an diesem Austauschprozess drei Parteien beteiligt:

• Client: Die Partei, die die Anfrage stellt
• Server: Die Partei, die die Anfrage ausführt
• API: Das Bindeglied, das beide in einer gut dokumentierten und vorhersehbaren Weise miteinander verbindet

Man kann sich das wie in einem Restaurant vorstellen. Wenn alle Gäste direkt in die Küche gingen, um ihr Lieblingsgericht zu bestellen, würde Chaos entstehen. In diesem Szenario stellt die API die Speisekarte (Dokumentation) bereit, auf der alle verfügbaren Gerichte (Services) der Küche (Serveranwendung) aufgeführt sind. Sie beschreibt, welche Informationen der Kunde bereitstellen muss und in welchem Format die Bestellung erfolgen soll.

Die API fungiert also als Kellner – als Vermittler, der sicherstellt, dass Bestellungen in standardisierter Form aufgenommen und ausgeliefert werden.

Funktionsweise von APIs

APIs legen fest, wie Softwarekomponenten miteinander interagieren sollen. Dadurch können Entwickler verschiedene Systeme integrieren und Daten sowie Funktionen gemeinsam nutzen, ohne alles von Grund auf neu entwickeln zu müssen – das spart Zeit und Ressourcen. APIs definieren in der Regel die Methoden und Protokolle, die für die Kommunikation verwendet werden müssen, sowie die Datenformate, die ausgetauscht werden dürfen.

Eine API beschreibt also, wie Anwendungen miteinander interagieren, indem sie Details bereitstellt, darunter:

• Endpunkte. Bestimmte URLs, die festlegen, wohin Daten und Anfragen gesendet werden.
• Methoden. Anweisungen wie GET zum Abrufen von Daten, POST zum Senden von Daten, PUT zum Aktualisieren von Daten und DELETE zum Löschen von Daten.
• Parameter. Spezifische Angaben, die für die Anfrage erforderlich sind – wie z. B. der Standort für Wetterdaten oder die Anmeldedaten für soziale Netzwerke.
• Antworten. Das Format der vom System zurückgesendeten Daten, zum Beispiel JSON oder XML.

Der Entwickler der Client-Anwendung, der Daten anfordert, schreibt Code, um einen API-Aufruf durchzuführen. Dieser Code legt Folgendes fest:

• Die URL des API-Endpunkts
• Die HTTP-Methode
• Alle erforderlichen Parameter

Die Anwendung sendet Anfragen an das API-Gateway der Serveranwendung, das die eingehenden Anfragen verwaltet. Das API-Gateway leitet die Anfrage an den entsprechenden Service innerhalb der Zielanwendung weiter. Dieser Service verarbeitet die Anfrage, ruft die benötigten Daten ab oder führt die gewünschte Aktion aus.

Anschließend bereitet der Zieldienst die Antwortdaten gemäß der API-Definition auf und sendet sie über das API-Gateway zurück an die anfragende Anwendung. Diese empfängt die Daten, wertet sie aus und liefert das erwartete Ergebnis an den Endbenutzer.

Warum sind APIs wichtig?

Da APIs eine standardisierte Möglichkeit bieten, auf die Daten und Funktionen anderer Anwendungen und Services zuzugreifen, müssen Unternehmen das sprichwörtliche Rad nicht neu erfinden. Das spart Zeit und Geld. Diese Standardisierung fördert zudem Innovation und Skalierbarkeit, da neue Funktionen und Services modular hinzugefügt werden können, ohne den Betrieb bestehender Systeme zu beeinträchtigen.

Auf geschäftlicher Ebene sind APIs von entscheidender Bedeutung, da sie es Unternehmen ermöglichen, wiederkehrende Aufgaben und Prozesse zu automatisieren, indem Software direkt mit anderer Software interagiert. Da die meisten Unternehmen Automatisierung einsetzen, um Mitarbeiter für anspruchsvollere Aufgaben zu entlasten, ist die Fähigkeit von APIs, manuelle Arbeitsabläufe zu reduzieren und die betriebliche Effizienz zu steigern, ein zentraler Vorteil. Auch Organisationen, die den Einsatz von Cloud-Services ausbauen möchten, sind in hohem Maße auf APIs angewiesen.

API-Komponenten

API-Komponenten arbeiten zusammen, um die Kommunikation und den Datenaustausch zwischen verschiedenen Softwaresystemen zu ermöglichen. Ein Verständnis dieser Komponenten ist entscheidend, um APIs erfolgreich in eine Anwendung zu integrieren. Zu den API-Komponenten gehören:

• Eine API-Spezifikation bietet eine strukturierte Beschreibung dessen, was die API leistet und wie genau mit ihr interagiert werden soll.
• Der API-Designer ist ein Tool, das Entwicklern bei der Erstellung von APIs hilft. Ein API-Designer kann so einfach wie ein Plug-in für eine Entwicklungsumgebung oder ein hochspezialisiertes Tool sein. Das Ziel besteht darin, eingebaute Regeln für die Validierung und Formatierung der API bereitzustellen – um Zeit zu sparen und Fehler zu vermeiden.
• API-Portale sind Orte, an denen Entwickler veröffentlichte APIs finden und austauschen sowie deren Spezifikationen prüfen können, um zu verstehen, ob und wie eine API hilfreich sein kann. Die Portale für öffentliche APIs sind häufig in eine Website mit ergänzenden Informationen eingebettet, wie z. B. rechtlichen Hinweisen und Nutzungsbedingungen.
• Das API-Backend ist die Software, die einen API-Aufruf für den Client in eine konkrete Aktion umsetzt.
• API-Gateways stellen die URL einer API bereit, wenden Regeln für deren Nutzung an und leiten den API-Aufruf an das entsprechende Backend weiter. Ein Gateway kennt in der Regel sowohl die API-Spezifikation als auch die Details der anzuwendenden Regeln. Diese können sich auf Authentifizierung und Autorisierung, Zertifikatsverwaltung, Rate Limiting und Drosselung, Überprüfung und Validierung von Nutzlasten, intelligentes Routing auf Basis von Header- oder Payload-Inhalten und vieles mehr beziehen.

APIs können außerdem Mechanismen für Rate Limiting, Fehlerbehandlung und Dokumentation für Entwickler enthalten. Eine solide API zu entwickeln erfordert eine Reihe von Entscheidungen – von der Architektur bis zu den Design-Tools – und ist eine unverzichtbare Fähigkeit für Unternehmen, die auf eine cloudnative Zukunft setzen.

Vorteile von APIs

Durch den Einsatz von APIs können Entwickler verteilte Anwendungen miteinander verbinden – zum Beispiel eine Smartphone-App mit einer Social-Media-Website oder ein Gehaltssystem mit einem Geschäftskonto. Da APIs es ermöglichen, praktische Anwendungen aus kleinen, eigenständigen und vernetzten Services aufzubauen, bieten sie Vorteile in Bezug auf Zuverlässigkeit und Skalierbarkeit.

Wenn ein Service ausfällt, kann der Großteil der Anwendung weiterhin funktionieren. Weitere Vorteile sind:

• Flexibilität. APIs ermöglichen es Entwicklern, für jedes zu lösende Problem die jeweils beste Technologie auszuwählen.
• Schnellere Entwicklung. APIs ermöglichen es Entwicklern, vorhandene Funktionen einzubinden, anstatt alles von Grund auf neu zu entwickeln.
• Innovation:. APIs fördern Zusammenarbeit und Experimentierfreude, da sie Entwicklern ermöglichen, neue Services zu entdecken und auszuprobieren – ohne großen Aufwand oder hohe Investitionen.
• Mehr Kontrolle. APIs können mit strengen Autorisierungsmechanismen ausgestattet werden, um präzise zu steuern, auf welche Daten oder Aktionen eine Anwendung zugreifen darf.
• Skalierbar. APIs ermöglichen es Anwendungen, eine höhere Nachfrage zu bewältigen, indem sie Aufgaben an andere Services auslagern. So kann beispielsweise ein kleiner Händler anstelle eines eigenen Zahlungssystems eine Zahlungs-API wie Stripe oder PayPal nutzen. Dadurch wird eine komplexe Aufgabe ausgelagert. Der Verkäufer kann sich nun auf das Wachstum seines Kerngeschäfts konzentrieren, während die Zahlungsabwicklung den Experten überlassen wird – was zugleich das Vertrauen der Kunden stärkt.

Herausforderungen bei APIs

Trotz aller Vorteile von APIs gibt es auch Herausforderungen in Bezug auf Komplexität, Kosten und Sicherheit, die bei der Entwicklung von Anwendungen mit API-Aufrufen sowie beim Erstellen eigener APIs berücksichtigt werden müssen. Software, die von mehreren APIs abhängig ist, kann schwer zu verwalten und zu warten sein – insbesondere, wenn der API-Anbieter häufig Aktualisierungen oder Änderungen vornimmt.

Zu den spezifischen Herausforderungen gehören:

• API-Auswahl. Angesichts der enormen Anzahl verfügbarer APIs kann die Auswahl der am besten geeigneten Lösung eine große Herausforderung sein. Oft gibt es keine einzige perfekte API – stattdessen kann es erforderlich sein, Daten und Funktionen aus mehreren Quellen zu kombinieren.
• Kosten. Auch wenn viele APIs kostenlos genutzt werden können, sollten Sie auf Einschränkungen bei Aufrufen und Funktionen achten. Abhängig von Ihrer Anwendung und Zielgruppe kann es erforderlich sein, kostenpflichtige Abonnements für bestimmte Funktionen oder Kapazitäten abzuschließen. Dabei stellt sich die Frage: Zahlen Sie eine pauschale oder nutzungsbasierte Gebühr? Die laufenden Kosten für die Pflege Ihrer API-Verbindungen sollten ebenfalls in architektonische Entscheidungen einfließen.
  
  Wenn Sie eine große Anzahl von APIs verwenden oder hohe Zugriffszahlen auf wenige APIs haben, empfiehlt sich ein API-Nutzungsplan, um die Kosten im Rahmen zu halten.
• Integrationskomplexität. Selbst wenn eine geeignete API gefunden wurde, kann die Integration in die eigene Anwendung eine anspruchsvolle Aufgabe sein. APIs verschiedener Anbieter verwenden oft unterschiedliche Protokolle, Datenformate und Authentifizierungsmechanismen. Diese Unterschiede zu überbrücken kann erheblichen Entwicklungsaufwand erfordern.
• Leistung. Die Leistung – oder mangelnde Leistung – einer API kann die Benutzer Ihrer Anwendung frustrieren. APIs können Latenzzeiten verursachen, die zu langsamen Reaktionszeiten und verzögerter Datenverarbeitung führen. Denken Sie daran: Der Mitarbeiter oder Kunde wird den API-Anbieter nicht verantwortlich machen. Der Name Ihres Unternehmens steht auf der Anwendung.
• Sicherheit. Wenn APIs leichter auffindbar sind, steigt auch das Risiko des Missbrauchs – daher müssen Unternehmen besonders auf die Sicherheit achten. Mit den richtigen Tools lässt sich jedoch auf einfache Weise eine sichere API erstellen. Authentifizierungsmechanismen wie API-Schlüssel, Tokens oder andere Anmeldedaten stellen sicher, dass nur autorisierte Anwendungen auf Systeme zugreifen. Zudem sollten stets die Verschlüsselungsstandards der API überprüft werden. Eine gut gestaltete API verbirgt außerdem die Implementierung ihres Backends, sodass Teams Änderungen vornehmen können, ohne die Funktionalität auf der Client-Seite zu beeinträchtigen.
• Von einem Anbieter abhängig. Eine starke Abhängigkeit von einem bestimmten API-Anbieter für zentrale Funktionen Ihrer Anwendung kann zu einer Bindung an dessen Ökosystem führen. Wenn Sie künftig den Anbieter wechseln möchten, kann dies mit hohen Kosten und erheblichen Unterbrechungen verbunden sein.
• Versionsprobleme. Wie die meisten Softwarelösungen sind auch APIs nicht statisch. Sie entwickeln sich weiter, um neue Funktionen bereitzustellen und auf Sicherheits- oder technische Änderungen zu reagieren. Neue Versionen können jedoch Codeänderungen mit sich bringen, die Ihre Anwendung beeinträchtigen. Selbst wenn keine Funktionsstörungen auftreten, kann das Nachverfolgen der verschiedenen verwendeten API-Versionen und Integrationen eine erhebliche Belastung darstellen.

Zudem stellen nicht alle API-Entwickler eine klare und umfassende Dokumentation bereit – die jedoch entscheidend ist, damit Ihre Entwickler eine API korrekt nutzen und integrieren können. Wählen Sie Ihre Anbieter daher mit Bedacht.

Häufige API-Fehler

Für alle, die eigene APIs entwickeln möchten, gibt es einige Stolperfallen – insbesondere bei der Wahl der Spezifikationen und der Unterschätzung der späteren Nutzung. Ein Grundprinzip guten API-Designs besteht darin, den Nutzer vor Änderungen an der Backend-Implementierung zu schützen. Das Design Ihrer API spiegelt direkt die zugrunde liegende Datenstruktur wider. Wenn sich diese internen Datenstrukturen ändern, ist auch die API betroffen – was die Funktion des API-Clients beeinträchtigen kann.

Zu den weiteren Fehlern, die vermieden werden sollten, gehören:

Schlechte Dokumentation. Klare und detaillierte Dokumentation ist entscheidend für den Erfolg Ihrer API. Wenn Sie beispielsweise ein Datum beschreiben, müssen Sie das Format eindeutig angeben. In Europa wird ein Datum in der Regel als Tag–Monat–Jahr dargestellt, während in Nordamerika die Reihenfolge Monat–Tag–Jahr gilt. Wenn solche Details nicht präzise definiert werden, kann dies zu Datenqualitätsproblemen führen – und im schlimmsten Fall dazu, dass Ihre API eine Anwendung zum Absturz bringt.

Nichtberücksichtigung der Produktionsdatenmengen. Während der API-Entwicklung werden Tests meist mit relativ kleinen Datensätzen durchgeführt. In der Produktionsumgebung sind die Datenmengen jedoch häufig deutlich größer, sodass API-Aufrufe versuchen, enorme Datenmengen in einer einzigen Anfrage zu übertragen. Dies kann – je nach Netzwerkverbindung zwischen Client und Backend – zu verschiedenen Problemen führen. Im schlimmsten Fall überlastet die Anfrage das API-Backend, was dazu führen kann, dass der API-Aufruf fehlschlägt.

Fehler können auch bei der Festlegung von Richtlinien für das API-Gateway auftreten. Häufig betreffen sie unzureichende Sicherheitsmaßnahmen, die es böswilligen Akteuren ermöglichen könnten, Daten zu verändern, unbefugt darauf zuzugreifen oder die API sogar als Angriffsweg auf das Netzwerk zu nutzen. Solche Probleme werden von der OWASP Foundation analysiert und dokumentiert; die häufigsten Fehler finden sich in ihrer bekannten Top-10-Liste der API-Sicherheitsrisiken.

Die Verwechslung der Rollen von API-Gateway und API-Backend ist ein weiterer häufiger Fehler. Beide Komponenten verarbeiten eingehende API-Aufrufe, wodurch sie leicht miteinander verwechselt werden können. Die Aufgabe des Gateways besteht jedoch darin, Anfragen schnell zu prüfen und an die richtige Stelle weiterzuleiten. Das API-Backend hingegen benötigt mehr Zeit für die Verarbeitung, da es die eigentliche Geschäftslogik ausführt.

Dabei ist wichtig zu beachten, dass die Beziehung zwischen API-Aufrufen und API-Backend nicht eins zu eins ist.

Arten von APIs

Es gibt vier Haupttypen von APIs, und welche Sie wählen, hängt von Ihrem Anwendungsfall ab. Bevor Sie sich für ein Modell entscheiden, sollten Sie sowohl kurzfristige als auch langfristige Pläne für Ihre Anwendung berücksichtigen – ein späterer Wechsel zu einem anderen API-Modell ist zwar möglich, erhöht jedoch Kosten und Komplexität.

• Öffentliche APIs können von jedem genutzt werden, um über eine Client-Anwendung auf die Daten oder Services eines Servers zuzugreifen. Häufige Einsatzbereiche sind das Abrufen von Verkehrs- und Wetterdaten oder die Verwaltung von Anmeldeprozessen über Drittanbieter. Öffentliche APIs sind in der Regel darauf ausgelegt, dass jede Anwendung einen Service nutzen kann. Dieser Zugriff kann eine einfache Aktion sein – wie z. B. das Abrufen der aktuellen Uhrzeit – oder etwas Komplexeres, wie das Herunterladen eines Wetterradarbildes oder einer detaillierten Wegbeschreibung von Punkt A nach Punkt B. Da öffentliche APIs häufig und breit eingesetzt werden, wird besonders darauf geachtet, sie nur dann zu ändern, wenn es unbedingt erforderlich ist, um die Funktionsfähigkeit bestehender Anwendungen nicht zu beeinträchtigen.
• Private APIs werden ausschließlich für den internen Gebrauch entwickelt und nicht öffentlich veröffentlicht. In der Regel ermöglichen sie es den Anwendungen eines Anbieters, mit dessen eigenen Servern zu kommunizieren. Ein Beispiel: Die Banking-App auf Ihrem Smartphone nutzt private APIs, um auf die spezifischen Services Ihrer Bank zuzugreifen.
• Partner-APIs werden für die Nutzung zwischen bestimmten Organisationen entwickelt. Die Details dieser APIs werden nur einem begrenzten Kreis von Partnern offengelegt. Beispielsweise kann eine Cloud-Datenbankplattform eine Partnerschaft mit einer festgelegten Anzahl von Analyseanbietern eingehen. Daraus entstehen Partner-APIs, die effizient die Datenbank mit den Analyseplattformen verbinden.
• Verbund-APIs (Composite APIs) werden für eine bestimmte Funktion miteinander verknüpft und können eine Kombination aus öffentlichen, privaten und Partner-APIs sein. Ein Beispiel für eine verkettete API, die öffentliche und private APIs kombiniert, ist die Integration zwischen einer Wetter-App und einer Fitness-Tracker-App. Die öffentliche API der Wetter-App liefert Daten wie Temperatur und Luftfeuchtigkeit an die Fitness-Tracker-App. Deren private API wiederum stellt Informationen über die Schrittgeschwindigkeit und die zurückgelegte Distanz des Nutzers bereit und kombiniert diese mit den Umweltdaten, um den Kalorienverbrauch zu berechnen.

Beispiele für APIs

Die meisten Menschen kennen Verbraucher-APIs, wie z. B. für Wetter- oder Standortdaten. Doch es gibt ein ganzes Universum hochentwickelter APIs, die Unternehmen dabei unterstützen, Funktionen aus Cloud-Services, Datenbanken und leistungsstarken Geschäftsanwendungen zu nutzen.

Beispielsweise bietet Oracle ein breites Spektrum an APIs für seine Services. Unternehmen, die Oracle Cloud Infrastructure (OCI) nutzen, können APIs verwenden, um virtuelle Netzwerke programmgesteuert zu verwalten – darunter das Erstellen, Konfigurieren und Verwalten von Subnetzen, Sicherheitslisten und Routentabellen. Eine Compute-API ermöglicht Administratoren das Starten, Stoppen, Neustarten und Konfigurieren von Compute-Instanzen in OCI. Weitere APIs verbinden IT-Teams mit Funktionen für Object Storage sowie Identity and Access Management (IAM).

Auch innovative Start-ups setzen APIs ein. So bietet Inworld.ai KI-gesteuerte virtuelle Charaktere für Online-Rollenspiele an. Über APIs können Entwickler nicht spielbare Charaktere (NPCs) erstellen, die realistisch und interaktiv auf Spieler reagieren. Die APIs ermöglichen es Spieldesignern, Eigenschaften, Persönlichkeit und Verhalten der Charaktere festzulegen und so NPCs individuell anzupassen, um Tiefe und Vielfalt in ihre Spiele zu bringen. Virtuelle Charaktere können über APIs Text- oder Spracheingaben verstehen und darauf reagieren.

Von Domino’s Pizza, das APIs nutzt, um Bestellungen über Sprachassistenten zu ermöglichen, bis zu Uber, das mithilfe von APIs Echtzeitdaten einbindet und Fahrtpreise dynamisch an Nachfrage und Verkehrslage anpasst – diese Technologie treibt schon heute echte Innovation voran.

API-Anwendungsfälle

Für die meisten Menschen sind APIs, die soziale Netzwerke und Zahlungsabwicklungen ermöglichen, bestens bekannt. Viele Websites und Anwendungen nutzen APIs, um beliebte Social-Media-Funktionen wie das Teilen von Inhalten bereitzustellen. E-Commerce-Plattformen wiederum verwenden APIs, um sich mit Zahlungsdiensten wie Stripe oder PayPal zu verbinden.

Doch APIs erleichtern unseren Alltag auf viele weitere Arten. Sie ermöglichen die Geolokalisierungsdienste, die Apps für Mitfahrgelegenheiten oder Essenslieferungen nutzen, um mithilfe von Karten-APIs den Standort eines Kunden oder dessen Ziel zu bestimmen.

Im Unternehmenskontext erlauben APIs Teams, mit Cloud-Ressourcen zu interagieren – wie z. B. mit den Anwendungen, die sie für Finanzprozesse oder Kundendienstfunktionen einsetzen. Darüber hinaus sind APIs die Grundlage für die Kommunikation und den Datenaustausch zwischen IoT-Geräten und ihren Steuerungssystemen.

Wenn Sie in einem intelligenten Büro arbeiten, in dem Licht und Temperatur automatisch angepasst werden, ist das ebenfalls ein Beispiel für den Einsatz von APIs.

API-Protokolle

Es gibt verschiedene Protokolle bzw. Architekturstile, um APIs für Entwickler bereitzustellen. Diese Ansätze legen fest, wie eine API funktionieren soll und über welche Mechanismen Entwickler aus ihren eigenen Programmen darauf zugreifen können.

Zu den gängigen Architekturstilen gehören:

• Representational State Transfer (REST)
  Dies ist vermutlich die beliebteste Architektur für den Zugriff auf Ressourcen und Services im Web. In vielen Umgebungen durchläuft ein Client Prozesse, die seinen Status im Verhältnis zum Server verändern. Wenn Sie beispielsweise Ihren Kontostand abfragen möchten, wechseln Sie vom nicht authentifizierten in den authentifizierten Zustand. Server und Client behalten diesen Zustand anschließend bei. Im Gegensatz dazu sind REST-APIs zustandslos (stateless). Wenn ein Entwickler eine REST-API nutzen möchte, um den Kontostand abzufragen, muss die Anfrage alle erforderlichen Informationen zur Authentifizierung des Benutzers enthalten. Nach der Verarbeitung der Anfrage werden keine Sitzungsinformationen gespeichert. Möchte der Benutzer eine weitere ähnliche Anfrage stellen, muss er die Authentifizierungsinformationen erneut mitsenden. Ein Vorteil von REST-APIs besteht darin, dass Server den Zustand der Clients nicht nachverfolgen müssen – was die Serverarchitektur erheblich vereinfacht.
• Remote Procedure Calls (RPCs)
  In herkömmlichen Anwendungen werden Prozeduraufrufe – auch Funktionsaufrufe genannt – verwendet, um auf Geräte und Services des Computers zuzugreifen, auf dem die Anwendung ausgeführt wird. Das Öffnen und Lesen von Dateien oder das Schreiben auf den Bildschirm oder andere Geräte des Computers erfolgt über solche Prozeduraufrufe. Auf diese Weise stellt das Betriebssystem eine Abstraktionsschicht zwischen der Anwendung und der tatsächlichen Hardware des Computers bereit. Anwendungsentwickler müssen nichts über die technische Funktionsweise des Bildschirms wissen – sie verwenden einfach einen Prozeduraufruf. Auf die gleiche Weise können Prozeduraufrufe einer Anwendung den Zugriff auf eine Ressource im Netzwerk ermöglichen. Die Dateien eines Benutzers befinden sich möglicherweise nicht auf dem lokalen Computer, sondern auf einem Netzwerkserver. Ein Remote Procedure Call (RPC) erledigt diese Aufgabe. Oft weiß die Anwendung gar nicht, ob sich die benötigte Ressource lokal oder extern befindet. Das Betriebssystem erkennt dies und führt die entsprechenden Schritte aus, um die Anfrage zu erfüllen. Im Allgemeinen können RPCs jedes beliebige Format verwenden, um auf eine Funktion zuzugreifen – die Konventionen, wie diese Aufrufe funktionieren, werden in der Regel vom Betriebssystem festgelegt.
  
  Betriebssystemaufrufe sind nur eine Form von RPC. Andere Arten können entwickelt werden, um nahezu jede Aufgabe zu erfüllen. Ein Unternehmen könnte beispielsweise eine eigene Anwendung zur Erfassung von Arbeitszeiten entwickeln. Entwickler könnten grundlegende Netzwerkfunktionen nutzen, um Prozeduren zu erstellen, mit denen mobile Apps An- und Abmeldungen an zentrale Server übermitteln. Verschiedene Bibliotheken erleichtern diese Entwicklung, und die Nutzung einer Standardarchitektur wie REST kann von Vorteil sein, da andere Entwickler so leichter nachvollziehen können, wie der RPC funktioniert.
• Simple Object Access Protocol (SOAP)
  Ähnlich wie REST bietet SOAP eine Möglichkeit, auf Services im Internet zuzugreifen. Es verwendet XML, um festzulegen, wie Anfragen formatiert werden, und kann über eine Vielzahl von Transportprotokollen ausgeführt werden – was es anbieterunabhängig macht. SOAP wird am häufigsten zum Zugriff auf Webservices verwendet, wobei HTTP als Transportschicht dient. Wenn eine Anwendung beispielsweise eine Produktbeschreibung abrufen möchte, erstellt sie ein entsprechendes XML-Dokument und sendet es an einen Webserver, der Informationen über dieses Produkt enthält. Der Webserver antwortet mit einem eigenen XML-Dokument, das die angeforderten Produktinformationen enthält. Da SOAP zum Abrufen von Objekten konzipiert ist, sind die Aktionen auf GET, POST, PUT und DELETE beschränkt – was die Befehlsstruktur des Protokolls besonders einfach macht.

API-Integrationen

API-Integrationen verbinden Anwendungen miteinander und ermöglichen den Austausch von Daten und Funktionen. Man kann sich Integrationen wie Telefonleitungen vorstellen, die eine offene Kommunikation in beide Richtungen ermöglichen.

Dabei sind drei Komponenten beteiligt:

Die APIs selbst legen die Regeln und Spezifikationen fest, nach denen Anwendungen miteinander kommunizieren können. Sie definieren, welche Daten ausgetauscht werden dürfen, in welchem Format sie vorliegen müssen und welche Aktionen ausgelöst werden können.

Die Serveranwendung stellt ihre Funktionen oder Daten über eine API bereit. Ein Cloud-Service könnte beispielsweise eine API anbieten, mit der IT-Teams schnell neue Instanzen erstellen oder Benutzer hinzufügen können.

Die Client-Anwendung nutzt APIs, um Daten oder Funktionen von der Serveranwendung anzufordern. Eine Mitfahr-App verwendet beispielsweise die API eines Wetterdienstes, um Preise automatisch anzupassen, wenn es regnet oder bestimmte Temperaturgrenzen über- oder unterschritten werden.

Der eigentliche Prozess umfasst mehrere Schritte: Zunächst wählt der Entwickler der Client-Anwendung eine geeignete API aus. Der Client verwendet anschließend API-Schlüssel, Tokens oder andere Anmeldedaten, um sich bei der gewünschten API zu authentifizieren und die Berechtigung für bestimmte Daten oder Aktionen zu erhalten. Danach sendet er Anfragen (API Calls) an die Server-API, in denen genau angegeben ist, welche Daten oder Aktionen gewünscht sind.

Die Serveranwendung verarbeitet die Anfrage und führt – sofern autorisiert – die entsprechende Aktion aus oder ruft die angeforderten Daten ab und sendet sie in einem strukturierten Format wie JSON oder XML über die API zurück an den Client.

APIs und digitale Transformation

Digitale Transformation dreht sich im Kern um die Cloud – und APIs sind ein zentrales Element cloudnativer Architekturen. Sie ermöglichen die Integration von Services und Systemen innerhalb der Cloud und verbinden Legacy-Anwendungen mit neuen Cloud-Services. So können Unternehmen schrittweise in eine digitale Zukunft übergehen, ohne laufende Geschäftsprozesse zu unterbrechen. Mit APIs können Unternehmen außerdem schnell auf Marktveränderungen und Chancen reagieren. Moderne Services wie Zahlungsportale, Social-Media-Plattformen oder Analysetools lassen sich direkt in Anwendungen integrieren.

Eine weitere transformative, API-basierte Technologie ist das Konzept der Microservices – ein Architekturansatz für die moderne Anwendungsentwicklung, der auf unabhängige Services und Funktionen setzt. In einer Microservices-Architektur wird eine Anwendung in klar abgegrenzte Bausteine zerlegt, die jeweils eine einzelne Aufgabe effizient ausführen. Diese Microservices kommunizieren über APIs mit anderen Anwendungen oder Services. Eine Anwendung kann aus nur wenigen Microservices bestehen – oder aus Hunderten bis Tausenden einzelner Komponenten. Microservice-basierte Anwendungen sind besonders skalierbar, da ihre einzelnen Elemente unabhängig voneinander agieren und sich somit schneller anpassen und erweitern lassen. Dies bietet die Agilität und Flexibilität, die für digitale Transformationsinitiativen erforderlich sind – Faktoren, die durch die monolithischen Architekturen herkömmlicher Softwareentwicklung oft behindert werden.

Cloud-native Unternehmen, die Microservices einsetzen, können schneller auf neue Chancen reagieren und Automatisierung gezielt vorantreiben. APIs unterstützen diese Strategie.

API-Trends

Unternehmen entwickeln zunehmend APIs, um das anhaltende Wachstum von Cloud, künstlicher Intelligenz (KI) und Machine Learning (ML) zu unterstützen – die Kommunikation von Anfragen und Ergebnissen erfolgt dabei über APIs. Doch auch APIs selbst entwickeln sich weiter.

Ein Beispiel dafür sind sogenannte Reverse- (Egress-) Gateways. Normalerweise besteht die Aufgabe eines API-Gateways darin, eingehende Anfragen zu verarbeiten. Es gibt jedoch Szenarien, in denen ein Gateway als spezialisierter Internet-Proxy fungiert und eine Infrastruktur bereitstellt, um den Netzwerkverkehr von Anwendungen gezielt zu steuern, während IT-Teams gleichzeitig die Aktivitäten überwachen können. Wenn sämtlicher ausgehender Datenverkehr eines Netzwerks ausschließlich über das API-Gateway erfolgt – und dabei nur genehmigte externe APIs genutzt werden dürfen –, kann die IT sämtliche ausgehenden Datenpakete prüfen und so besser nachvollziehen, wie und wohin Daten das Netzwerk verlassen.

API-Gateways können außerdem die Nutzung kostenpflichtiger Services nachverfolgen und so sicherstellen, dass diese korrekt verwendet werden und die erwarteten Umsätze erzielt werden. Darüber hinaus unterstützen Gateways beim Testen neuer Anwendungsversionen vor deren Bereitstellung. Während der Testphase kann es erforderlich sein, Anfragen unterschiedlich zu behandeln – je nachdem, ob sie aus dem Produktivsystem oder aus der Testumgebung stammen. Das Gateway kann die nötigen Informationen erkennen und die Weiterleitung entsprechend steuern.

Neue Techniken für API-Rate-Limiting und Throttling helfen IT-Teams, den API-Zugriff zu verwalten und Angriffe zu verhindern. Beim Rate-Limiting wird die Anzahl der API-Aufrufe begrenzt, die eine Anwendung innerhalb eines bestimmten Zeitraums durchführen darf. Throttling hingegen passt den Zugriff dynamisch an – wie beispielsweise basierend auf der Serverauslastung oder wenn eine Aktivität als potenziell schädlich eingestuft wird.

Weitere wichtige Trends und Standards, die die API-Landschaft prägen, betreffen den zunehmenden Fokus auf Offenheit und Interoperabilität, ohne dabei die Sicherheit zu vernachlässigen. Unternehmen sollten insbesondere auf folgende Entwicklungen achten:

OpenAPI Initiative. Die OpenAPI Initiative (OAS) ist ein Zusammenschluss mehrerer Organisationen, die an einer gemeinsamen Sprache zur Beschreibung von APIs arbeiten. Dieses standardisierte Format soll zu besserer Dokumentation, einfacherer Auffindbarkeit und reibungsloserer Integration führen.

JSON Web Tokens. Eine weitere Initiative offener Standards sind die JSON Web Tokens (JWTs), die sich zunehmend als Methode für Authentifizierung und Autorisierung in APIs etablieren. Sie ermöglichen eine sichere Übertragung von Benutzeridentitätsinformationen zwischen Anwendungen, ohne dass sensible Daten direkt auf dem API-Server gespeichert werden müssen.

OAuth 2.0. Da Sicherheit ebenso wichtig ist wie Standardisierung, wird OAuth 2.0 – das branchenweit anerkannte Protokoll für Autorisierung – zunehmend eingesetzt. Das OAuth 2.0-Framework ermöglicht es Anwendungen, auf Benutzerdaten einer anderen Plattform zuzugreifen, ohne dass Benutzer ihre Passwörter weitergeben müssen. Dadurch behalten sowohl Privatpersonen als auch Unternehmen eine bessere Kontrolle über ihre Daten.

OpenID Connect (OIDC) baut auf OAuth 2.0 auf und ermöglicht es Anwendungen, die Identität eines Benutzers zu verifizieren, ohne dass separate Anmeldedaten für jede Anwendung erforderlich sind.

Für Unternehmen, die stark auf eine stabile API-Leistung angewiesen sind, wird außerdem API-Analytik zu einem unverzichtbaren Instrument. Durch proaktives Überwachen und Analysieren der API-Nutzungsmuster kann die IT Leistungsengpässe, Sicherheitsrisiken und Optimierungspotenziale frühzeitig erkennen. Unternehmen sollten nach API-Management-Lösungen Ausschau halten, die Tools zur Erfassung und detaillierten Auswertung von API-Nutzungsdaten bieten. Die Analyse, welche APIs am häufigsten verwendet werden, hilft dabei, Investitionsentscheidungen gezielt zu treffen. Wenn beispielsweise die APIs eines veralteten ERP-Systems häufiger genutzt werden als die des CRM, könnte es sinnvoll sein, die Verbesserung oder den Austausch des ERP-Systems zu priorisieren.

Unterstützung durch Oracle

Oracle Cloud Infrastructure (OCI) bietet ein umfassendes Serviceportfolio zur Verwaltung des gesamten API-Lebenszyklus. Dank der integrierten Tools können Entwicklerteams ganz einfach bei Prototypen, Tests und Validierungen von APIs zusammenarbeiten. Oracle Cloud Infrastructure API Gateway bietet Integration, Beschleunigung, Governance und Sicherheit für API- und SOA-basierte Systeme und ermöglicht es Teams, Web-APIs sicher zu verwalten und bereitzustellen. Darüber hinaus können API-Operatoren mit Nutzungsplänen und Abonnements APIs überwachen und monetarisieren.

Sobald ein Entwicklungsteam versteht, wie APIs funktionieren, erkennt es die verborgenen Verbindungen, die viele Anwendungen und Services im Hintergrund antreiben – jene, die Kunden und Mitarbeiter täglich nutzen. Dadurch können Entwickler Anwendungen schneller, effizienter und kostengünstiger erstellen, indem sie auf über APIs bereitgestellte Daten und Funktionen zugreifen, anstatt alles von Grund auf neu zu entwickeln.

Häufig gestellte Fragen zu APIs

Was sind die vier Arten von APIs?

Die vier API-Typen sind: öffentlich (für jeden zugänglich), privat (intern innerhalb eines Unternehmens entwickelt), Partner-APIs (für die Zusammenarbeit zwischen Anwendungen verschiedener Organisationen) und zusammengesetzte APIs (eine Kombination verschiedener API-Typen, die gemeinsam genutzt werden).

Was ist ein Beispiel für eine API im Alltag?

Ein gutes Beispiel für einen Anbieter öffentlicher APIs ist die NASA. Sie stellt APIs bereit, um Forschungsdaten, Bilder und Informationen zu Ereignissen zu teilen. Diese APIs ermöglichen es Entwicklern, ausgewählte NASA-Daten – wie z. B. Updates des Mars-Rovers oder Details zu von der NASA beobachteten Naturereignissen wie Vulkanausbrüchen – abzurufen und in eigene Anwendungen zu integrieren. So könnte beispielsweise eine Wetter-App Mars-Rover-Updates in einem speziellen Bereich als „Live vom Mars“-Feed anzeigen.

Ist die Erstellung einer API einfach?

Das Schreiben einer API kann ein unkomplizierter Prozess sein, insbesondere für erfahrene Entwickler. APIs lassen sich in nahezu jeder Programmiersprache erstellen, und etablierte Architekturen wie REST bieten klare Richtlinien dafür. Ein einfacher Weg, um die API-Entwicklung zu erlernen, ist das Reverse Engineering öffentlicher Open-Source-APIs, um zu verstehen, wie deren Entwickler sie aufgebaut haben.

Was ist eine REST-API einfach erklärt?

REST, auch als RESTful bezeichnet, steht für „Representational State Transfer“ und ist ein Standardprotokoll für die Entwicklung von Webservices. REST legt Regeln und Richtlinien fest, damit verschiedene Anwendungen effizient und skalierbar über das Internet miteinander kommunizieren können. Dabei definiert REST, wie Anwendungen Anfragen – meist über die Methoden GET, PUT, POST und DELETE – per HTTP stellen. Diese Kommunikation erfolgt mithilfe von Formaten wie HTML, XML, Python, JSON, PHP oder einfachem Text, ohne dass eine dauerhafte Verbindung (zustandsbehaftete Beziehung) zwischen Client und Server erforderlich ist.