What about resource naming: the foundation that everyone gets wrong?

Let me start with something that seems trivial but causes more downstream problems than almost anything else: resource naming. I've reviewed over 200 API designs in my career, and I'd estimate that 60% of them had inconsistent or confusing resource naming that created cascading issues.

What about http methods and status codes: speak the language correctly?

If resource naming is your API's vocabulary, HTTP methods and status codes are its grammar. And just like in human language, using the wrong grammar makes you hard to understand—even if people can eventually figure out what you mean.

What about versioning: future-proofing without the pain?

I've lived through three major API version migrations, and each one taught me something painful about what not to do. The worst was a v1-to-v2 migration that took 18 months and required coordinating updates across 47 client applications. We lost two major customers during that process because their...

What about authentication and authorization: security without friction?

I've designed authentication systems for APIs handling everything from public blog posts to financial transactions processing billions of dollars. The pattern I've settled on balances security with developer experience: OAuth 2.0 for user authentication, API keys for service-to-service...

What about performance and caching: speed as a feature?

In 2026, API performance isn't optional—it's a core feature. I've seen companies lose major deals because their API was "too slow" (anything over 200ms is too slow for modern applications). Here's how I design for speed from day one.

REST API Best Practices: A Practical Checklist for 2026 — txt1.ai [Deutsch]

💡 Key Takeaways

Resource Naming: The Foundation That Everyone Gets Wrong
HTTP Methods and Status Codes: Speak the Language Correctly
Versioning: Future-Proofing Without the Pain
Pagination, Filtering, and Sorting: Handling Large Datasets

Vor drei Jahren habe ich ein Startup dabei beobachtet, wie es 2,3 Millionen Dollar an Finanzierung verbrannte, weil deren API-Design so grundlegend fehlerhaft war, dass jede neue Funktion das Neuschreiben von der Hälfte ihres Codes erforderte. Ich bin Sarah Chen und habe die letzten 12 Jahre als Principal API-Architektin bei drei verschiedenen Unicorn-Startups verbracht, Systeme zu entwerfen, die über 47 Milliarden Anfragen pro Monat verarbeiten. Was ich gelernt habe, ist, dass das Design von REST-APIs nicht darum geht, starre Regeln zu befolgen – es geht darum, bewusste Entscheidungen zu treffen, die sich entweder zu technischer Exzellenz oder technischer Schulden summieren.

💡 Wichtige Erkenntnisse

Ressourcenbenennung: Das Fundament, das jeder falsch macht
HTTP-Methoden und Statuscodes: Sprecht die Sprache richtig
Versionierung: Zukunftssicherheit ohne Schmerz
Seitenpaginierung, Filterung und Sortierung: Umgang mit großen Datensätzen

Die Landschaft hat sich dramatisch verändert, seit REST der De-facto-Standard wurde. Im Jahr 2026 haben wir es mit Edge Computing, KI-gesteuerten Anwendungen zu tun, die tausende von API-Anfragen pro Sekunde stellen, und Nutzer, die von überall auf dem Planeten eine Reaktionszeit von unter 100 ms erwarten. Der alte Rat "folgt einfach den REST-Prinzipien" reicht nicht mehr aus. Sie benötigen eine praktische, bewährte Checkliste, die die modernen Realitäten berücksichtigt.

Dieser Artikel ist diese Checkliste. Ich teile das genaue Framework, das ich verwende, wenn ich APIs für Unternehmen architektonisch plane, die täglich Millionen an Einnahmen verarbeiten. Das sind keine theoretischen Best Practices; es sind die Muster, die APIs, die skalieren, von solchen trennen, die unter ihrem eigenen Gewicht zusammenbrechen.

Ressourcenbenennung: Das Fundament, das jeder falsch macht

Lass mich mit etwas beginnen, das trivial erscheint, aber mehr nachgelagerte Probleme verursacht als fast alles andere: die Ressourcenbenennung. Ich habe in meiner Karriere über 200 API-Designs überprüft, und ich schätze, dass 60% von ihnen inkonsistente oder verwirrende Ressourcenbenennungen hatten, die kaskadierende Probleme verursachten.

Hier ist das Kernprinzip: Ihre URLs sollten wie Sätze gelesen werden, die die Ressourcenhierarchie beschreiben. Verwenden Sie Pluralnamen für Sammlungen, halten Sie die Verschachtelung flach (maximal 2-3 Ebenen) und seien Sie gnadenlos konsequent. Als ich zu meinem jetzigen Unternehmen kam, hatte ihre API Endpunkte wie /getUser, /user-list, und /users/fetch – alle machen ähnliche Dinge. Wir haben drei Monate gebraucht, um das Durcheinander zu entwirren.

Das Muster, das ich empfehle:

Sammlungen: /api/v1/users, /api/v1/orders, /api/v1/products
Bestimmte Ressourcen: /api/v1/users/12345, /api/v1/orders/ord_abc123
Unterressourcen: /api/v1/users/12345/orders, /api/v1/orders/ord_abc123/items
Aktionen auf Ressourcen: /api/v1/orders/ord_abc123/cancel (POST), /api/v1/users/12345/verify-email (POST)

Was fehlt? Verben im URL-Pfad (außer für Nicht-CRUD-Aktionen). Die HTTP-Methode IST das Verb. GET /users bedeutet "Benutzer abrufen." POST /users bedeutet "einen Benutzer erstellen." DELETE /users/123 bedeutet "Benutzer 123 löschen." Das ist nicht nur ästhetisch – es macht Ihre API vorhersehbar und reduziert die kognitive Last für Entwickler.

Für Nicht-CRUD-Operationen verwende ich einen pragmatischen Ansatz. Ja, Puristen werden sagen, alles sollte in CRUD abgebildet werden, aber in der realen Welt haben Sie Operationen wie "eine Bestellung stornieren", "eine E-Mail überprüfen" oder "den Versand berechnen." Ich stelle diese als POST-Anfragen an Aktionsendpunkte dar: POST /orders/123/cancel. Der Schlüssel ist Konsistenz – dokumentieren Sie Ihr Muster und halten Sie sich religiös daran.

Ein weiteres kritisches Detail: Verwenden Sie Kebab-Schreibweise für mehrwortige Ressourcen (/shipping-addresses, nicht /shippingAddresses oder /shipping_addresses). URLs sind in vielen Kontexten nicht groß-/kleinschreibungsempfindlich, und Kebab-Schreibweise ist das am universellsten lesbare Format. Ich habe Produktionsvorfälle gesehen, die durch Probleme mit der Groß-/Kleinschreibung verursacht wurden, die mit dieser einfachen Konvention hätten vermieden werden können.

HTTP-Methoden und Statuscodes: Sprecht die Sprache richtig

Wenn Ressourcenbenennung der Wortschatz Ihrer API ist, dann sind HTTP-Methoden und Statuscodes ihre Grammatik. Und genau wie in der menschlichen Sprache macht es einen schwer verständlich, die falsche Grammatik zu verwenden – selbst wenn die Leute irgendwann herausfinden können, was man meint.

Ich sehe zwei gängige Anti-Muster immer wieder. Erstens, APIs, die POST für alles verwenden, weil "es funktioniert." Zweitens, APIs, die für jede Antwort 200 OK zurückgeben, selbst bei Fehlern, während der tatsächliche Status im Antwortkörper vergraben ist. Beide Muster erschaffen APIs, die schwerer zwischengespeichert, schwerer zu debuggen und schwerer mit standardisierten Werkzeugen zu integrieren sind.

Hier ist meine detaillierte Analyse nach Methoden basierend auf der Nutzung in der Praxis:

GET: Ressourcen abrufen. Muss idempotent und sicher sein (keine Nebenwirkungen). Verwenden Sie niemals GET für Operationen, die den Zustand ändern – es ist mir egal, ob es "nur das Aktualisieren eines letzten Zugriffszeitstempels" ist. Dafür ist Middleware da. GET-Anfragen sollten zwischenspeicherbar sein, und das Mischen von Zustandsänderungen bricht die Annahmen zur Zwischenspeicherung. In einem System, an dem ich gearbeitet habe, sahen wir eine Reduzierung der Datenbanklast um 73%, nur durch die ordnungsgemäße Implementierung von GET-Idepotenz und das Hinzufügen von HTTP-Zwischenspeicherheadern.

POST: Neue Ressourcen erstellen oder Aktionen auslösen. POST ist Ihr Arbeitstier für nicht-idempotente Operationen. Bei der Erstellung von Ressourcen geben Sie 201 Created mit einem Standort-Header zurück, der auf die neue Ressource zeigt. Wenn Sie Aktionen auslösen, geben Sie 200 OK oder 202 Accepted (für asynchrone Operationen) mit einem Antwortkörper zurück, der das Ergebnis beschreibt.

PUT: Ersetzen Sie eine gesamte Ressource. Hier sind viele Entwickler verwirrt. PUT sollte die komplette Ressource mit der bereitgestellten Darstellung ersetzen. Wenn Sie eine PUT-Anfrage mit nur einigen Feldern senden, sollten dies die einzigen Felder sein, die die Ressource danach haben sollte (andere Felder sollten auf Standardwerte oder null gesetzt werden). In der Praxis verwende ich PUT sparsam – normalerweise nur für Ressourcen, bei denen die Clients den kompletten Zustand tatsächlich verwalten.

PATCH: Teilweise eine Ressource aktualisieren. Das ist, was die meisten Entwickler tatsächlich wollen, wenn sie denken, dass sie PUT wollen. PATCH ermöglicht es Ihnen, nur die Felder zu senden, die Sie ändern möchten. Ich verwende typischerweise JSON Patch (RFC 6902) oder JSON Merge Patch (RFC 7396) für das Anfrageformat. In meinem aktuellen Unternehmen verwenden 94% unserer Aktualisierungsoperationen PATCH, nicht PUT.

DELETE: Entfernen Sie eine Ressource. Geben Sie 204 No Content bei Erfolg zurück (kein Antwortkörper erforderlich) oder 200 OK, wenn Sie Informationen über die Löschung zurückgeben. Stellen Sie sicher, dass DELETE idempotent ist – mehrmals aufzurufen sollte denselben Effekt haben wie einmal aufzurufen. Geben Sie 204 zurück, auch wenn die Ressource bereits gelöscht wurde.

Für Statuscodes verwende ich diesen praktischen Teilmengen, die 99% der Szenarien abdecken:

200 OK: Erfolgreiches GET, PUT, PATCH oder POST, das Daten zurückgibt
201 Created: Erfolgreiches POST, das eine Ressource erstellt
202 Accepted: Anfrage akzeptiert für asynchrone Verarbeitung
204 No Content: Erfolgreiches DELETE oder Update ohne Antwortkörper
400 Bad Request: Client hat ungültige Daten gesendet (mit detaillierter Fehlermeldung)
401 Unauthorized: Authentifizierung erforderlich oder fehlgeschlagen
403 Forbidden: Authentifiziert, aber nicht für diese Ressource autorisiert
404 Not Found: Ressource existiert nicht
409 Conflict: Anfrage steht im Widerspruch zum aktuellen Zustand (z.B. doppeltes E-Mail)
422 Unprocessable Entity: Validierung fehlgeschlagen (ich bevorzuge dies gegenüber 400 für Validierungsfehler)
429 Too Many Requests: Rate-Limit überschritten
500 Internal Server Error: Etwas ist auf unserer Seite kaputt gegangen
503 Service Unavailable: Vorübergehender Ausfall oder Wartung

Der Schlüsselgedanke: Statuscodes sind für die Semantik auf HTTP-Ebene, Antwortkörper sind für Details auf Anwendungsebene. Eine 400-Antwort sollte immer bedeuten "Sie haben schlechte Daten gesendet", aber der Antwortkörper erklärt genau, was mit welchem Feld falsch war.

Versionierung: Zukunftssicherheit ohne Schmerz

Ich habe drei große API-Version-Migrationen erlebt, und jede hat mir etwas Schmerzhaftes darüber beigebracht, was ich nicht tun sollte. Die schlimmste war eine Migration von v1 zu v2, die 18 Monate dauerte und die Koordination von Aktualisierungen über 47 Clientanwendungen erforderte. Wir verloren während dieses Prozesses zwei große Kunden, weil ihre Integrationsteams mit den Änderungen nicht Schritt halten konnten.

Written by the Txt1.ai Team

Our editorial team specializes in writing, grammar, and language technology. We research, test, and write in-depth guides to help you work smarter with the right tools.

Share This Article

Twitter LinkedIn Reddit HN

Prettify JSON Online: Format Messy JSON — txt1.ai Code Review Best Practices: How to Review (and Be Reviewed) — txt1.ai Web Performance Optimization: Make Your Site Fast — txt1.ai

Put this into practice

Try Our Free Tools →

🔧 Explore More Tools

Sitemap Page Sitemap Html Email Writer Svg Editor Minifier Ai Unit Test Generator

Ansatz	URL-Muster	Skalierbarkeit	Wartbarkeit
RESTful (Empfohlen)	/users/{id}/orders	Ausgezeichnet - Klare Hierarchie, zwischenspeicherbar	Hoch - Vorhersehbare Muster
RPC-Stil (Anti-Muster)	/getUser, /fetchOrders	Schlecht - Keine Zwischenspeicherung, verbbasiert	Niedrig - Inkonsistente Benennung