API-Testing fuer Anfaenger: Praktischer Leitfaden

Was ist API-Testing?

API-Testing ist der Prozess, Anfragen an einen API-Endpunkt zu senden und zu ueberpruefen, ob die Antwort korrekt ist — richtiger Statuscode, richtiges Datenformat, richtige Werte, innerhalb akzeptabler Antwortzeit. Anders als UI-Testing, das mit Buttons und Formularen interagiert, arbeitet API-Testing direkt mit der Datenschicht.

APIs sind das Rueckgrat moderner Software. Ihre mobile App spricht mit einer API. Ihr Frontend spricht mit einer API. Drittanbieter-Integrationen (Zahlung, Versand, E-Mail) sind alle APIs. Wenn die API falsch ist, ist alles, was darauf aufbaut, falsch.

HTTP-Grundlagen

Die meisten APIs kommunizieren ueber HTTP. Die wichtigsten Methoden:

• GET: Daten abrufen. Sollte nichts veraendern. GET /api/users/42 gibt Benutzer 42 zurueck.
• POST: Neue Ressource erstellen. POST /api/users mit JSON-Body erstellt einen neuen Benutzer.
• PUT: Vorhandene Ressource vollstaendig ersetzen.
• PATCH: Ressource teilweise aktualisieren. PATCH /api/users/42 mit {"name": "Neuer Name"} aktualisiert nur den Namen.
• DELETE: Ressource loeschen.

Statuscodes

• 200 OK: Anfrage erfolgreich.
• 201 Created: Ressource wurde erfolgreich erstellt.
• 400 Bad Request: Anfrage fehlerhaft — fehlende Felder, falsche Datentypen, ungueltiges JSON.
• 401 Unauthorized: Authentifizierung erforderlich, aber nicht angegeben oder ungueltig.
• 403 Forbidden: Authentifiziert, aber keine Berechtigung fuer diese Ressource.
• 404 Not Found: Die Ressource existiert nicht unter dieser URL.
• 500 Internal Server Error: Auf der Serverseite ist etwas schiefgelaufen.

Erste API-Anfrage senden

Der einfachste Weg, eine API zu testen, ist mit einem Browser-basierten Tool — keine Installation noetig. URL eingeben, HTTP-Methode waehlen, bei Bedarf Header und Body hinzufuegen und absenden.

Ein typischer Testablauf folgt dem CRUD-Zyklus:

1. GET-Anfrage senden, um vorhandene Ressourcen aufzulisten. Antwort 200 und korrektes Datenformat ueberpruefen.
2. POST-Anfrage senden, um eine neue Ressource zu erstellen. Antwort 201 ueberpruefen.
3. GET-Anfrage fuer die neue Ressource. Pruefen, ob sie existiert und die Daten stimmen.
4. PUT oder PATCH senden, um sie zu aktualisieren. Aenderungen ueberpruefen.
5. DELETE senden. Danach GET — sollte 404 zurueckgeben.

Header und Authentifizierung

Header tragen Metadaten ueber die Anfrage. Die wichtigsten fuer API-Testing:

• Content-Type: Sagt dem Server, in welchem Format der Body ist. Fast immer application/json.
• Authorization: Traegt die Zugangsdaten. Bearer <token> fuer JWT, Basic <base64> fuer Benutzername:Passwort.
• Accept: Sagt dem Server, welches Antwortformat gewuenscht ist.

Die drei gaengigsten Authentifizierungsmethoden: API-Keys (statischer Schluessel als Header oder Query-Parameter), Bearer Tokens/JWT (zeitlich begrenzt, von einem Login-Endpunkt erhalten) und OAuth 2.0 (mehrstufiger Flow fuer Drittanbieter-Integrationen).

Was testen?

• Happy Path: Korrekte Eingaben erzeugen korrekte Ausgaben.
• Validierung: Fehlende Pflichtfelder geben 400 mit klarer Fehlermeldung zurueck, nicht 500.
• Grenzfaelle: Leere Strings, sehr lange Strings, Sonderzeichen, Null-Werte.
• Authentifizierung: Anfragen ohne Token geben 401 zurueck. Abgelaufene Token ebenfalls 401.
• Performance: Antwortzeit unter Last.

Im Browser ausprobieren

Unser API-Tester ermoeglicht es Ihnen, HTTP-Anfragen an jede API direkt im Browser zu senden. Methode, URL, Header und Body setzen, dann die Antwort mit formatiertem JSON, Statuscode und Timing sehen. Keine Software noetig.