Die Webinar-Serie von Heise Academy geht in die zweite Runde: Vom 17. November bis 15. Dezember findet die Serie „Web-API-Entwicklung in der Praxis - Web-APIs designen, entwickeln, absichern" erneut online statt.
APIs sind im modernen Web unverzichtbar, um Dienste und Lösungen miteinander kommunizieren zu lassen. Doch mit APIs wird die Entwicklung auch oft kompliziert. Ob Private oder Public APIs – Software- und Webentwickler müssen schwierige Fragen beantworten: Welche Architekturparadigmen, welche Verfahren, welche Protokolle nutze ich, wann welche besser nicht? Wie gewährleiste ich Qualität, Kompatibilität und Sicherheit?
Die Qualität einer API sollte der Erwartungshaltung, oder auch Developer Experience (DX), der Entwickler entsprechen und gängige Standards umsetzen. Sie sollte einfach und intuitiv zu verstehen, zu nutzen und zu testen sein. Diese API-Workshop-Reihe liefert einen fundierten Einblick in die wesentlichen Aspekte des gesamten API-Lifecycles – beginnend mit dem Design über das Testing und Management einer API bis hin zur parallelen Bereitstellung in mehreren Versionen.
Am Anfang des API-Lifecycles steht das Design. In dieser Phase gilt es grundlegende Entscheidungen zu treffen, die nicht selten über den zukünftigen Erfolg oder Misserfolg der API entscheiden. Im Fokus der Entscheidungen stehen dabei u.a. Aspekte wie Developer Experience, Performance und Security.
Ist die API für internen oder externen Gebrauch gedacht, und welchen Einfluss hat dies auf die Granularität? Soll die API synchron oder asynchron arbeiten? Wie genau soll die Payload aufgebaut sein? Und welche Relevanz spielen Header und Status Codes? Wie signalisiert man dem Nutzer sinnvoll einen Fehler? Ist eine Versionierung der API vorgesehen und wenn ja, wie garantiert man möglichst lange Abwärtskompatibilität?
Diese und viele weitere Fragen diskutieren wir gemeinsam im Rahmen des Workshops und beschreiten so den ersten Schritt hin zu einer gelungenen Real-Life API.
Nicht jede API soll für jeden zugänglich sein. Und selbst wenn man eine öffentliche Schnittstelle betreibt, sollte nicht jeder Benutzer Zugriff auf alle Daten haben. Wie kann ich also meine API und ihre Daten absichern?
Die OWASP ist mittlerweile jedem ein Begriff aufgrund der regelmäßig herausgebrachten Top Ten von Sicherheitsproblemen in Webapps. Aufgrund der wachsenden Bedeutung von APIs bringt die OWASP aber mittlerweile auch regelmäßig eine angepasste Variante davon für API Security heraus. In diesem Workshop werden wir die zehn häufigsten Angriffsszenarien auf APIs kennen lernen und sehen, wie man sich davor schützen kann. Dabei werden wir lernen, wie man Applikationen vor diesem Hintergrund aufbauen sollte und wie API Gateways, JWT, OAuth2 und OpenID-Connect eingesetzt werden müssen, um dabei zu helfen.
Die eigene Landschaft von APIs kann schnell komplex werden: Nur ein Teil der APIs ist öffentlich, es gibt synchrone und asynchrone APIs. Wenn dann auch noch einzelne Teile der APIs weiterentwickelt werden, kann man schnell den Überblick darüber verlieren, ob noch alles funktioniert.
In diesem Workshop werden wir die verschiedenen Testing-Strategien für öffentliche und nicht-öffentliche APIs kennenlernen und dabei immer sowohl synchrone als auch asynchrone APIs betrachten. Neben Consumer-Driven Contract Testing, welches besonders für interne APIs sinnvoll ist, werden wir auch lernen, wie bei der Weiterentwicklung von öffentlichen APIs automatisiert getestet werden kann, ob nach einer Änderung noch alle Clients funktionieren.
Um als Entwickler sinnvoll mit einer API arbeiten zu können, bedarf es mindestens einer verständlichen, und vor allem aktuellen Dokumentation, welche nach Möglichkeit einem Standard, wie z.B. openAPI oder asyncAPI, folgt. Ein Developer Portal mit API-Referenz, Beispielen, Tutorials und Forum rundet das Angebot für die Entwickler weiter ab.
Ob die API stabil läuft und am Ende tatsächlich so genutzt wird wie angedacht, lässt sich mittels API-Monitoring tracken. Der Einsatz eines API-Gateways kann zusätzlich dabei helfen, verschiedene Versionen der API parallel zur Verfügung zu stellen, die API gegen Attacken abzuschirmen und SLAs zu realisieren.
Der vierte Workshop der API-Webinar-Reihe widmet sich all diesen Themen und somit der Bereitstellung und dem Laufzeitmanagement einer API.
Nachdem wir uns in den ersten vier Workshops der API-Webinar-Reihe intensiv mit den unterschiedlichen Phasen des API-Lifecycles auseinandergesetzt haben, wollen wir uns in diesem Workshop gezielt anschauen, wie es die Großen in der Praxis mit ihren APIs handhaben.
Wir werden uns gemeinsam einige am Markt etablierte APIs vornehmen und diese auf Best Practices und Pitfalls abklopfen. All das mit dem Ziel, gute Vorlagen für das Design und die Bereitstellung der eigene API zu finden, an denen wir uns orientieren können.
Ein kleiner Spoiler vorweg: Uns werden in diesem Workshop einige Überraschungen erwarten. Denn nicht jede bekannte API ist auch wirklich intuitiv und gut nutzbar.
Sichere dir jetzt dein Ticket.
