Eine Anwendungsprogrammierschnittstelle (eng. Application Programming Interface, API) ist eine Schnittstelle zwischen verschiedenen Teilen eines Computerprogramms, die die Implementierung und Pflege von Software vereinfachen oder Daten bereitstellen soll. Eine API kann für ein webbasiertes System, ein Betriebssystem, ein Datenbanksystem, eine Computer-Hardware oder eine Software-Bibliothek sein.
Die Welt der APIs einfach erklärt – Was ist API-Integration und API-Management
1. Executive Summary: Welt der APIs
Anwendungen, Systeme und Partner können über APIs in Echtzeit vernetzt werden. Von mobilen Apps, E-Business oder Cloud bis zur Standort- oder Point of Sales-Anbindung – APIs ermöglichen den schnellen, sicheren und unkomplizierten Zugriff auf Daten und Funktionen von Geschäftsprozessen. Letztlich machen APIs die Interaktion zwischen diesen Systemen, Anwendungen, mobilen Geräten oder Apps überhaupt erst möglich.
Was genau sind APIs? Warum sind APIs so wichtig? Welche Chancen bieten APIs? Wie geht API-Management? Und vor allem, was gehört zu einem API-Full-Lifecycle-Management? Lernen Sie hier alles rund um das Thema API. Wir stellen eine sinnvolle API-Solution vor und beantworten Ihre Fragen zu den Themen API und API-Management.
2. Warum sind APIs so wichtig?
APIs (dt. Schnittstellen für die Programmierung von Anwendungen) haben durch mobile und Cloud-Lösungen einen enormen Auftrieb erfahren, der weiter anhält. Sie spielen eine tragende Rolle bei der Vernetzung und Integration von Geschäftsprozessen, Services, Inhalten und Daten im Rahmen von Digitalisierungsprojekten. Manche Unternehmen gehen sogar so weit, alle ihre Schnittstellen auf API umzustellen.
APIs prägen die digitale Welt. Die Verzeichnisse der API-Onlineportale umfassen heute bereits weit über 20.000 APIs. Und jeden Monat kommen mehrere hundert hinzu – Tendenz steigend. Nun muss man wissen, dass in diesen Verzeichnissen ausschließlich die öffentlichen APIs aufgeführt werden. Nimmt man die unzähligen APIs hinzu, die derzeit von Unternehmen rein intern genutzt werden, bilden die 20.000 öffentlichen APIs zusammen vermutlich nur einen kleinen Eiswürfel auf der Spitze eines Eisbergs.
Warum wurden APIs für Unternehmen so bedeutsam?
Entscheidend ist, dass über das Bereitstellen von APIs bestehende Applikationsfunktionen und Daten für andere Systeme und Applikationen nutzbar werden. Beispielsweise können in einem Unternehmen Daten aus einer internen Datenbank über eine API anderen internen Systemen zur Verfügung gestellt werden. Altsysteme lassen sich über APIs integrieren (Legacy-System-Integration). Ressourcen, die bislang nur isoliert oder lokal verfügbar waren, können so von weiteren Systeme mit genutzt werden.
Je besser ein Unternehmen intern vernetzt ist und je besser es unterschiedliche Anwendungen durch APIs miteinander verbindet, desto genauere und umfassendere Informationen erhält es zum Beispiel über seine Kunden und sich selbst, was ihm erhebliche Wettbewerbsvorteile verschafft.
Neben der internen Vernetzung können APIs auch Türen zur Außenwelt öffnen und Unternehmen in die Lage versetzen, innovativ zu sein, neue Geschäftsmodelle zu kreieren und die digitale Transformation zu leben. Zahlreiche Unternehmen bieten schon heute externe APIs für Lieferanten, Kunden und andere Partner an, um ihnen den Zugang zu relevanten Informationen zu erleichtern. Diese Informationen können über APIs direkt in die Systeme der Geschäftspartner implementiert werden, wo sie dann in Echtzeit zugänglich sind.
Wie Sie mit professionellem API-Management den Überblick darüber behalten, welche APIs im Unternehmen existieren und wer sie nutzt, oder wie Sie sicherstellen, dass einmal bereitgestellte APIs wiederverwendet werden, oder auch wie Sie den API-Datenverkehr selbst überwachen und steuern, verraten wir Ihnen in Kapitel 5 – „API-Management, wie geht das?“.
Durch das sinnvolle Bereitstellen interner APIs auch für externe Partner lässt sich häufig ein neues Geschäftsmodell entwickeln, das zusätzlich Umsätze generiert. Den Möglichkeiten sind nahezu keine Grenzen gesetzt.
API-First-Strategie unterstützt neue Wege im B2B-Vertrieb
Durch API-Management und API-Integration verbindet OSRAM mehrere Systeme mit Salesforce und hat die erste Phase seines Next-Generation-Sales-Projekts erfolgreich abgeschlossen.
3. Was ist eine API?
API steht für Application Programming Interface (dt. Schnittstellen für die Programmierung von Anwendungen). Damit sind moderne Web-APIs gemeint, die auf dem http-Protokoll basieren und daher mit dem Internet kompatibel sind.
Web-APIs lassen sich leicht durch Firewalls hindurch tunneln, so dass eine lose Kopplung zwischen Anwendungen schnell hergestellt werden kann – auch zwischen Unternehmen. Bei Bedarf kann diese Kopplung zudem leicht wieder gelöst werden, d. h. ohne Eingriff in die beteiligten Anwendungen. Moderne Web-APIs sind daher offen und flexibel – was sie im Zeitalter der Digitalisierung praktisch unverzichtbar macht.
APIs haben in der Softwareentwicklung schon immer eine wichtige Rolle gespielt. Ihre Hauptaufgabe besteht darin, Anwendungen und anderen Programmen den Zugriff auf ausgewählte (System-)Funktionen und Daten zu ermöglichen. An einem solchen Szenario sind immer zwei beteiligt: derjenige, der über die Daten verfügt und Zugriff zu ihnen gewährt (Provider), und derjenige, der die Daten abruft und konsumiert (Consumer).
Die Kommunikation zwischen dem Consumer und dem Provider per APIs selbst erfolgt synchron. Das bedeutet, dass der Provider direkt auf eine Anfrage (API-Request) des Consumers antwortet und die angeforderten Daten (API-Response) synchron, d. h. mit einer minimalen Verzögerung, wie z. B. in einem persönlichen Gespräch oder Telefonat, zurückgibt.
Dies stellt den Provider einerseits vor die Herausforderung, die angeforderte Antwort so schnell wie möglich zu liefern, d. h. in Echtzeit und das auch unter Last, wenn das System des Providers z. B. von vielen Consumern parallel angefragt wird.
Der Consumer andererseits steht vor der Herausforderung, seine Software-Anwendung so programmieren zu müssen, dass diese Verzögerungen oder Nichtverfügbarkeit durch den Provider verkraften kann – z. B. weil der Provider gerade mit zu vielen Anfragen überlastet ist.
Die drohende Überlastung des Providers mit zu vielen Einzelanfragen und der mit den vielen Einzelanfragen verbundene Verwaltungsaufwand (z. B. für das Überprüfen der Zugriffsberechtigungen) sind auch der Grund dafür, warum APIs für Massendatenverarbeitung und Batch-Prozesse weniger geeignet sind als klassische asynchrone Kommunikationsprotokolle (z. B. EDI).
Die Stärken der APIs liegen vielmehr in ihrer Offenheit und Flexibilität, die es erlauben, Anwendungen und Systeme lose zu verbinden und Datensilos zu öffnen, indem Anwendungsentwicklern auf bestehende Anwendungen und Datenquellen zugreifen und diese wiederverwenden können. Damit machen APIs die heutigen Interaktionen zwischen jeglichen Systemen, Anwendungen, mobilen Geräten oder Apps überhaupt erst möglich.
Kurzum: APIs bieten als Schnittstellen eine elegante Möglichkeit, klar zu definieren, welche Art von Daten oder Funktionalität ein System oder eine Anwendung in Echtzeit bereitstellen kann. Mithilfe dieser einfachen und schnellen Einstiegspunkte in Systeme und Anwendungen wurden und werden komplette Geschäftsmodelle transformiert und neue strategische Unternehmensausrichtungen angeregt.
Je nachdem, wie APIs genutzt werden, lassen sich drei Arten von APIs identifizieren:
- Interne/Private APIs
- Partner APIs
- Öffentliche APIs
Wie APIs im Detail funktionieren, erfahren Sie in unseren ausführlichen Blogs: Was ist eine API und API – Worum geht es da eigentlich wirklich.
Die Bedeutung von APIs bei der digitalen Transformation
4. APIs – neue Chancen und Möglichkeiten
Amazon-Gründer Jeff Bezos war bereits im Jahre 2002, als er in seinem berühmten Mandat die API-First-Strategie ausrief, klar, dass die digitale Zukunft auf einer Strategie der Datenöffnung – nicht nur unternehmensintern, sondern auch nach außen – gebaut wird
Jeff Bezos, CEO und Gründer von AMAZON, 2002
Zwei Punkte dieses Mandats sind entscheidend für die Entwicklung von APIs und den Status, den sie heute erreicht haben:
Punkt 1
Alle Teams werden ab sofort ihre Daten und Funktionalitäten über Service Interfaces (APIs) bereitstellen.
Punkt 5
All diese APIs müssen so konzipiert sein, dass sie externalisierbar sind – ohne Ausnahme.
(➞ müssen auch an den Kunden bzw. die Außenwelt weitergegeben werden können)
Jeff Bezos gibt also zunächst vor, APIs intern, entsprechend den unternehmenseigenen Bedürfnissen zu entwickeln (was ihre Praxistauglichkeit gewährleistet). Die Synergieeffekte mit Geschäftspartnern im Blick ordnet er im Folgenden an, diese APIs von vornherein so zu konzipieren, dass sie auch extern verwendet werden können.
Dies ist der Grund dafür, dass Amazon so erfolgreich ist:
- Nahezu jeder Händler nutzt heutzutage zusätzlich Amazon als Vertriebskanal – über APIs.
- Viele Haushalte streamen ihre Videos über Amazon und setzen Alexa als sprachgesteuerte Suchmaschine ein – über APIs.
- Ob Lieferdienst, Musik, erster Amazon-Shop, etc. – die Anbindung läuft über APIs.
Das Entwickeln neuer Services, Geschäftsmodelle und Features ist in einer von API-Schnittstellen geprägten IT-Landschaft deutlich einfacher. Unternehmen sind dadurch langfristig für die Zukunft vorbereitet und für Mitarbeiter, Partner und Kunden attraktiver. Voraussetzung für den effizienten Einsatz von APIs ist jedoch stets ein professionelles API-Management.
Branchenübergreifende Wettbewerbsvorteile durch den Einsatz von APIs
Industrial IoT, APIs und unbegrenzte Möglichkeiten
Anbietern großer, elektronisch gesteuerter Maschinen ist es heutzutage möglich, Maschinendaten durch APIs zentral überwachen zu können. Dabei ist jede Maschine über eigene APIs an das System angebunden und überträgt verschiedene Daten in regelmäßigen Abständen. Mögliche Störungen und Abnutzung werden frühzeitig erkannt und es können rechtzeitig Wartungen vorgenommen und Ersatzteile bestellt bzw. ausgetauscht werden. In Verbindung mit einer API-basierten Infrastruktur können diese Daten direkt mit dem ERP-System, Lagerbeständen, Mitarbeiterpositionen, etc. vernetzt werden, was eine Fülle von Optimierungsmöglichkeiten bietet. Der Anbieter behält den Überblick über seine eingesetzten Produkte und kann gleichzeitig einen optimierten Service liefern.
Bei Maschinendaten endet das Anwendungsgebiet von APIs jedoch noch lange nicht. Den Einsatzmöglichkeiten sind buchstäblich keine Grenzen gesetzt. Seien es Sensoren an der Autobahn, Container in der Schifffahrt oder Züge der deutschen Bahn, sie alle können über APIs Daten übertragen und mit der Außenwelt kommunizieren. Intelligente Haushaltsgeräte lassen sich über Applikationen steuern, Desktops können zu einer kommunizierenden IT-Infrastruktur verwoben werden, externe Partner können über APIs angebunden und integriert werden.
Das Universum der APIs verschiebt Grenzen und schafft neue Möglichkeiten im Zeitalter der Digitalisierung.
Wie ist es möglich, dass all diese Daten aus unterschiedlichsten Quellen und über verschiedenste Anbindungen gesammelt und verwertet werden können? Hierbei hilft die API-Integration.
5. API-Integration – damit die Kommunikation sicher klappt
API-Integration ist im Kontext von APIs die Übersetzung, für die die Schnittstelle verantwortlich ist. Sie macht es möglich, dass verbundene Funktionseinheiten miteinander kommunizieren können. Dabei kann sich die Zielstruktur angrenzender Funktionseinheiten und Dateneinheiten stark voneinander unterscheiden, was eine Mediation unter Umständen schwierig macht. Hinzu kommt, dass ausgehende Antworten ebenfalls im passenden Format übermittelt werden müssen. Durch die API-Integration werden all diese Übersetzungsaufgaben erledigt.
Ein weiterer Faktor ist die Tatsache, dass eine API nicht zwangsläufig mit nur einer Funktionseinheit verbunden sein muss. Je nach Szenario und Aufbau der Infrastruktur ist es notwendig, dass die Anfrage einer API in diverse Anfragetypen auf verschiedene Backendsysteme aufgelöst werden muss. Da die jeweiligen Backendsysteme auf unterschiedliche Weisen kommunizieren können, ist eine multidimensionale API-Integration notwendig, um final eine vereinheitlichte Response bereitzustellen.
Erfahren Sie in unserem Blog: "Was ist API-Integration" mehr über die Herausforderungen im Zusammenhang mit API-Integration und wie Sie diese meistern können.
6. API-Management – wie geht das?
API-Management ist der Prozess der Verwaltung, Regulierung, Sicherung und Überwachung von APIs in einer sicheren und geschützten Umgebung. Er ermöglicht die steigende Anzahl der internen und externen APIs, die von einem Unternehmen genutzt oder zur Verfügung gestellt werden, zu kontrollieren. Hierbei geht ein professionelles API-Management gezielt auf die Bedürfnisse aller API-Stakeholder – der API-Publisher, API-Developer, App-Developer und API-Consumer – ein.
API-Stakeholders
Das Unternehmen (oder eine Abteilung), das APIs für andere anbietet. Außerdem ist er für die Administration der APIs und die Überwachung der täglichen API-Nutzung verantwortlich.
Er ist für die Entwicklung einer oder mehrerer APIs verantwortlich.
Er verwendet die vom API-Publisher bereitgestellte und betreute API, die der API-Developer entwickelt hat und integriert sie in seine App, bzw. er entwickelt seine App auf Grundlage der bereitgestellten API. Dadurch erzeugt er einen Zusatznutzen, den seine App durch die Verwendung der API bereitstellen kann.
Nutzt eine API, ohne diese in eine dafür entwickelte App zu integrieren. Das bedeutet beispielsweise, dass eine Marketingabteilung eine Facebook-API nutzt, um die Reaktionen in sozialen Medien auf konkrete Maßnahmen zu analysieren. Das tut sie mit einzelnen, unregelmäßigen Anfragen an die bereitgestellte API, je nach Bedarf.
Das API-Management ist der zentrale Punkt, an dem alle Stakeholder – direkt oder indirekt – bedient werden. Die APIs müssen in diesem Kontext verwaltet und überwacht werden.
Warum API-Management: Nicht verwaltete APIs sind nicht sicher und nicht effizient wiederverwendbar. Ihre Akzeptanzrate ist niedrig. Wenn sie nicht richtig verwaltet werden, setzen sie eine dienstbasierte Infrastruktur mit Systemen und Anwendungen einem Risiko aus, da deren Schutz nicht gewährleistet ist. Zusammenfassend lässt sich sagen, dass APIs, wenn sie nicht verwaltet werden, die Hauptursache für die Gefährdung eines Unternehmens sind und am Ende zu hohen Kosten führen. Unsere API-Management Infografik verdeutlicht die Vorteile von verwalteten APIs im Vergleich zu nicht verwalteten APIs.
API-Management ist die Lösung, um diese Gefährdung des Unternehmens abzuwenden!
Erfahren Sie mehr über die Aufgaben eines API-Managements, wie ein solcher Prozess Teil der API-Infrastruktur sein kann und welche Herausforderungen das Thema birgt in unserem detaillierten Blog: Was ist API-Management?
API-Full-Lifecycle-Management – die Herausforderungen
Je mehr APIs ein Unternehmen bereitstellt und je größer der adressierte und tatsächliche Nutzerkreis ist, desto hilfreicher ist es, APIs mit Full-Lifecycle-Management zu verwalten. Es bietet eine ganzheitliche Sicht zur Verwaltung aller APIs.
Der gesamte Prozess vom Entwurf und der Veröffentlichung einer API bis zum Ende wird API-Lifecycle genannt. Dieser API-Lifecycle muss verwaltet, dokumentiert, und diese Dokumentation allen API-Stakeholdern, die die APIs verwenden, zur Verfügung gestellt werden.
Nachdem im Einzelnen erklärt wurde, was API-Integration und API-Management ausmacht, stellt das API-Full-Lifecycle-Management die Steuerung und Kontrolle von APIs über ihren kompletten Lebenszyklus hinweg dar. Damit ist es als Maxime des API-Management-Ansatzes zu verstehen. Um diese Herausforderung fachgerecht und zukunftsorientiert anzugehen, existieren verschiedene Anbieter auf dem Markt.
Zusammengefasst kümmert sich das API-Full-Lifecycle-Management um die Verwaltung und Organisation der verschiedenen Phasen im Leben einer API. Nach Gartner sind die fünf Phasen des API-Lifecycle:
- Planning and Design: Welche Funktionen besitzt die API, wer ist zugriffsberechtigt, was ist das erwartete Volumen usw.
- Implementation and Testing: API-Implementierung sowie Test-Definitionen, um frühzeitig Probleme zu erkennen.
- Deploy and Run (Basic): Übernahme der API-Dokumentation in den API-Katalog sowie Definition von Richtlinien, unter anderem für die Themen Mediation, Traffic-Management und Sicherheit.
- Deploy and Run (Advanced): Definition weiterer Metainformationen sowie Erstellung von Reports bezüglich API-Monetization sowie Adoption und Konsumhäufigkeit
- Versioning and Retirement: Entscheidung anhand gesammelter Daten, ob eine API deaktiviert, erweitert oder wie gehabt weiter betrieben wird.
Das API-Full-Lifecycle-Management begleitet demnach ein API von der Konzeption über die Auslieferung bis hin zur Erweiterung oder Deaktivierung. Mehr Details zum Thema Full-Lifecycle-API-Management finden Sie in unserem Blog: Was ist API-Full-Lifecycle-Management.
7. Die API-Funktion
In den vorangegangenen Abschnitten wurde beschrieben, welche einzelnen Bestandteile im Universum der APIs welche Funktionen übernehmen. Abschließend geht es um die Frage, wie diese einzelnen Elemente als Ganzes zusammenhängen und wie Sie dies als Unternehmen für Ihre Zwecke am besten nutzen können.
Die API-Funktion der SEEBURGER BIS Plattform unterstützt die API-basierte Integration. Sie umfasst den gesamten API-Lebenszyklus, von der Erstellung, Implementierung, Veröffentlichung bis zur Nutzung und unterstützt die Sicherung von APIs, die Überwachung der API-Nutzung und die Verwaltung von Identitäts- und Zugriffsrechten.
Die API-Funktion der SEEBURGER BIS Plattform umfasst
Unternehmen, die APIs in ihre Unternehmensstrategie integrieren möchten, sollten hierfür also von Anfang an eine klare Struktur etablieren. Auch wenn zunächst nur kleinere API-Szenarien identifiziert werden können, entwickelt sich das Thema oft rasch und man ist schnell mit hohen Anforderungen an das Management einer steigenden Anzahl von APIs konfrontiert. Die Anzahl an involvierten System und Personen kann dabei rapide ansteigen, was unstrukturierte Lösungsansätze schnell an Grenzen bringt.
Was bedeutet das für Sie?
Das Konsumieren oder Bereitstellen von APIs ist nur ein Schritt in einem deutlich größeren Prozess. Unabhängig davon, ob Sie APIs als Grundlage für ein neues Geschäftsmodell verwenden, interne Daten zentralisiert bereitstellen oder Mitarbeitern mit einer übersichtlichen App den Arbeitsalltag leichter machen möchten:
APIs sind Ihr Schlüssel zur Digitalisierung!
Um APIs in Ihrem Unternehmen gezielt einzusetzen, ist ein Partner mit entsprechendem Fachwissen unverzichtbar. SEEBURGER bietet mit der API-Funktion der SEEBURGER BIS Plattform eine Lösung an, mit deren Hilfe Sie in der Lage sind, das Thema API mit Struktur und Übersicht zu meistern.
8. API-Glossar
In einem API-Katalog verwalten die API-Publisher den Lebenszyklus der API, pflegen die API-Dokumentation und kontrollieren die Sichtbarkeit. App-Developer verwenden den API-Katalog, um APIs zu durchsuchen und zu abonnieren und um Zugang zu API-Dokumentation und Lebenszyklus-Informationen zu erhalten.
API-Consumer nutzen bereitgestellte APIs. Sie können im API-Gateway identifiziert, Unternehmenseinheiten oder Geschäftsbereichen aber nicht weiter zugeordnet werden.
Der API-Developer ist eine Rolle im Bereich des API-Managements. Im Gegensatz zu einem API-Publisher stellen API-Developer nicht die API zur Verfügung und konfigurieren diese, sondern sind für die Implementierung und Integration der APIs in das Backend verantwortlich.
Unter API-Integration versteht man die Implementierung von Diensten, die Backend-Systeme durch die bereitgestellten APIs verwenden. Die Integration wird durch eine breite Palette von Adaptern für verschiedene Arten von Schnittstellen und Anwendungen unterstützt. Dazu gehört die Integration von multiplen Backend-Systemen, komplexe Integrationen oder "Heavy Lifting", sowie Protokoll- und Content-Handling.
Das API-Management ist eine Sammlung von Prozessen, welche für die Verteilung und Kontrolle von APIs notwendig sind. Das API-Management umfasst die Bereitstellung aller API-Informationen, den API-Lebenszyklus und die API-Sicherheit sowie die Leistungsmessung und Dokumentation.
Der API-Manager ist die Anwendung von SEEBURGER zur Verwaltung von APIs.
Das API-Portal ist Teil der API-Management-Funktionen der SEEBURGER BIS Plattform. Das API-Portal ist die Plattform für die Konfiguration und Überwachung von API-Proxies, die auf dem API-Gateway laufen. Das API-Portal wird sowohl von API-Providern, die APIs für den Zugriff auf Backend-Services bereitstellen wollen, als auch von App-Developern, die APIs nutzen wollen, verwendet.
Ein API-Proxy ist eine Schnittstelle zum API-Consumer, der Backend-Dienste nutzen will. Innerhalb des Proxys werden API-Policies ausgeführt.
Der API-Publisher stellt die API zur Verfügung, konfiguriert sie mit Hilfe der Policies und verwaltet den API-Lebenszyklus.
Sicherheitsvorkehrungen schützen die API, das API-Gateway und das gesamte System-Backend. Die API-Security wird beispielsweise durch Zugriffsberechtigungen gewährleistet und muss Format- und Inhaltsvorschriften erfüllen.
Eine App ist eine virtuelle Repräsentation, die eine oder mehrere APIs für einen bestimmten geschäftlichen Anwendungsfall verbraucht. Apps können mobile Anwendungen, Webapplikationen oder Geschäftsprozesse sein.
Der App-Developer ist verantwortlich für die Entwicklung von Apps, die auf APIs zugreifen.
Eine Technik für den Datenaustausch, bei der Sender und Empfänger nicht an eine Taktrate oder an eine gegenseitige Synchronisation gebunden sind.
Die Authentifizierung wird verwendet, um sicherzustellen, dass Personen oder Anwendungen, die auf APIs zugreifen, tatsächlich die Identität haben, die sie vorgeben zu haben. Einer der häufigsten Authentifizierungsmechanismen ist Basic-Authentication. Die Identität wird durch einen Benutzernamen und ein Passwort gesichert. Authentifizierung beantwortet die Frage: Wer sind Sie?
Nach der Authentifizierung folgt die Autorisierung. Bei der Autorisierung wird geprüft, ob die Identität die notwendigen Rechte für die gewünschte Aktivität besitzt. Die Autorisierung beantwortet die Frage: Was darf man tun?
Der Bearer-Token dient zur Authentifizierung und stellt ein Zugriffstoken dar. Das Token, das ein kryptischer String ist, enthält die notwendigen Informationen und wird mit der Anfrage an einen Ressourcenserver gesendet. Als Beispiel werden OAuth2.0 Bearer-Token verwendet.
Caching dient der schnellen und ressourcenschonenden Bereitstellung häufig genutzter Daten. Es bietet eine erhöhte Performance und schnelle Verfügbarkeit, da die Daten nicht bei jeder Anforderung neu erzeugt oder aus langsamen Systemabschnitten extrahiert werden müssen.
Bei der Content-Validierung wird die Syntax in den Payloads bei der API-Nutzung überprüft, um Schwachstellen wie Mass-Assignment oder Injections zu erkennen.
Das Developer-Portal ist Teil des API-Portals innerhalb der SEEBURGER API-Manager-App. Es ist der Einstiegspunkt für App-Developer und API-Consumer. Für App-Developer bietet es ein App-Management, mit dem sie applikationsspezifische Einstellungen pflegen und API-Schlüssel beantragen können. Der API-Consumer und der App-Developer können den Katalog durchsuchen, detaillierte Informationen über die API anfordern und erhalten.
Über Endpunkte greifen die APIs auf benötigte Ressourcen zu. Endpunkte stellen den Punkt dar, auf den auf einem Server oder System mit einer bestimmten URL zugegriffen wird.
Das API-Gateway ist Teil der API-Management-Funktionen der SEEBURGER BIS Plattform. Es ist die Plattform für das Hosting und die Ausführung von API-Proxies. Wenn die Backend-Services einfach sind, kann das API-Gateway eine direkte Verbindung zu ihnen herstellen, handelt es sich um komplexere Dienste, ist die API-Integration für die Vermittlung erforderlich. Das API-Gateway wird auch als Verteidigungslinie gegen die Außenwelt eingesetzt. Sobald eine API im Umlauf ist, ist ein Gateway notwendig!
JavaScript Object Notation (JSON) ist ein Datenaustauschformat ähnlich XML. JSON verwendet menschenlesbaren Text zur Übertragung von Datenobjekten, die aus Attribut-Wert-Paaren bestehen.
JSON Web Token (JWT) ist ein Autorisierungstoken, welches aus drei Komponenten besteht. Der Header gibt das Verschlüsselungs- oder Signaturverfahren sowie den Typ des JWT an. Die Payload besteht aus beliebig vielen Schlüssel/Werte-Paaren. Beide Komponenten sind verschlüsselt (z. B. Base64). Die dritte Komponente, die Signatur, wird ebenfalls verschlüsselt. Das Token wird entweder als Requestparameter oder im Header übertragen und sieht so aus: Header.Payload.Signature.
Der Lebenszyklus beschreibt die verschiedenen Phasen, die eine API durchläuft, von der Planung über die Versionierung bis hin zur Stilllegung. Je nach Präsentationsform kann es beliebig viele Phasen geben, der Inhalt ist jedoch immer gleich:
- Planning and Initial Design
- Implementation and Testing
- Deploy and Run (Basic)
- Deploy and Run (Advanced)
- Versioning and Retirement
Quelle: Gartner
Mediation ist die Verbindung zwischen der Innen- und Außenwelt und die Transformation von Formaten. Dies kann von einfachem JSON, über XML-Mappings bis hin zu komplexen Transformationen mit Geschäftslogik sein. Einfache Mediationsthemen werden innerhalb des API-Gateways behandelt, sobald jedoch eine gewisse Komplexität vorliegt oder Geschäftslogik hinzukommt, ist Mediation ein Themengebiet der API-Integration.
Die OpenAPI-Spezifikation (OAS) definiert eine standardisierte, sprachunabhängige Schnittstelle zu den RESTful-APIs, die es sowohl Menschen als auch Computern ermöglicht, einen Dienst zu erkennen und zu nutzen, ohne Zugriff auf den Quellcode und die Dokumentation oder durch die Überprüfung des Netzwerkverkehrs.
Policies stellen Regeln für das Gateway zur Verfügung. Diese Regeln definieren das Verhalten oder den Zugriff auf eine API. Die Richtlinien werden zur Verwaltung von APIs verwendet. Das Policy-Management ist für die Verwaltung, Erstellung und Aktivierung einzelner oder mehrerer Richtlinien erforderlich.
Portal innerhalb der BIS API-Manager-App. Hier kann der API-Publisher den Lebenszyklus der APIs verwalten und die Regeln konfigurieren.
Quotas regeln die Nutzung von APIs und begrenzen die Anzahl der möglichen Anfragen. Sie werden in Anfragen pro Zeit ausgedrückt, wobei die Zeit in Sekunden, Minuten, Stunden, Tagen usw. angegeben werden kann. Quotas sind häufig geschäftsorientiert und im Zusammenhang mit Monetarisierung zu finden.
Request und Response sind die Anfrage an eine API und die Antwort, die gesendet wird. Request und Response haben nichts damit zu tun, wie die Antwort zurückkommt, jedoch müssen sowohl die Anfrage als auch die Antwort definiert werden und folgen dann einem vorgegebenen Muster oder einer Regel.
REST steht für Representational State Transfer. REST und SOAP sind die beiden Programmierparadigmen. REST-APIs basieren auf diesem Architekturdesign: Die Interaktion erfolgt über http-Methoden wie POST, GET, PUT, DELET.
SOAP steht für Simple Object Access Protocol. SOAP und REST sind die beiden Programmierparadigmen für APIs. Ein SOAP-Paket besteht aus drei Aspekten: SOAP-Envelope, SOAP-Header und SOAP-Body.
Ähnlich wie Quotas und Throttling regelt auch Spike-Arrest die Zugriffsrate auf APIs. Spike-Arrest wird zum Schutz vor Lastspitzen und einer großen Anzahl von Zugriffen in kurzer Zeit eingesetzt. Hierbei wird der Durchschnittswert als Ausgangspunkt genommen. Zum Beispiel: 10 Aufrufe in 10 Sekunden bedeutet, dass jede Sekunde nur ein Aufruf ausgeführt werden darf (Aufrufe/Zeit).
Bei Streaming-APIs wird eine Verbindung aufgebaut und aufrechterhalten, anstatt sie für eine bestimmte Zeitspanne zu öffnen und zu schließen. Bei diesen permanent geöffneten Verbindungen werden die Daten entweder kontinuierlich oder sobald sie verfügbar sind, übermittelt/gestreamt.
Swagger ist eine Schnittstellen-Definitionssprache und wird zur Beschreibung von API-Schnittstellen, in der Regel für REST-APIs, verwendet. APIs können basierend auf Swagger-Daten erstellt werden. Die Beschreibung liegt entweder im JSON oder YAML Format vor.
Throttling ist eine Möglichkeit, die Nutzungshäufigkeit von APIs durch die API-Consumer innerhalb eines bestimmten Zeitraums zu regulieren. Hierbei kann das Throttling auf unterschiedlichen Ebenen stattfinden.
Token werden zur Authentifizierung und Autorisierung verwendet. Token sind verschlüsselte Zeichenfolgen, die Authentifizierungs- und Autorisierungsinformationen enthalten. Sie können gespeichert und wiederverwendet werden und haben je nach den verwendeten Methoden und Einstellungen eine unterschiedliche Lebensdauer.
Die Anzahl und Frequenz der API- und API-Gateway-Nutzung muss sowohl unter wirtschaftlichen als auch unter sicherheitskritischen Gesichtspunkten geregelt werden. Sowohl Throttling als auch Quotas sind Methoden des Traffic-Managements.
Die Web-Application-Firewall ist ein Teil der Schutzarchitektur und sitzt vor dem API-Gateway. Sie bietet Funktionen zum Schutz des Gateways, der gesamten API-Management-Architektur und einzelner APIs.
Genau wie Swagger wird die Web Service Description Language (WSDL) zur Beschreibung der API-Funktionalität verwendet. Swagger basiert auf XML. Mit WSDL 2.0 ist es zwar möglich, REST-APIs zu beschreiben, der Einsatz erfolgt jedoch üblicherweise bei SOAP-APIs.
Extensible Markup Language (XML) ist, wie JSON, eine Auszeichnungssprache, die eine Reihe von Regeln für die Kodierung von Dokumenten in einem Format definiert, das sowohl für Menschen als auch für Maschinen lesbar ist.
Verwaltung über den Zugriff und die Zugriffskontrolle auf einzelne APIs. Sie steuert, wer auf welche API, welches Gateway oder API-Portal Zugriff erhält und was die einzelnen Benutzer tun dürfen.