Von Hakan Akcan · Reepa Solutions
APIs sind 2026 der eigentliche Wertkern fast jeder Geschäftsanwendung — Web-Frontends, Mobile-Apps, Partner-Integrationen, KI-Agenten und interne Microservices reden alle über APIs miteinander, und die Wahl des Protokolls entscheidet über Entwicklungs-Geschwindigkeit, Betriebs-Kosten und langfristige Wartbarkeit. Für mittelständische Unternehmen sind drei Fragen aus unserer Beratungs-Praxis besonders heikel: erstens, ob REST für den nächsten Wachstumsschritt noch reicht oder ob GraphQL die ständige Endpunkt-Explosion stoppt, zweitens, wann gRPC für interne Services wirklich messbare Vorteile bringt, drittens, wie man eine API so versioniert, dass die nächsten fünf Jahre Releases ohne Kunden-Aufschrei möglich sind. Dieser Artikel ordnet REST, GraphQL, gRPC, tRPC, Webhooks und Event-Streaming für den deutschen Mittelstand ein, liefert eine konkrete Entscheidungs-Matrix und beschreibt die wichtigsten Querschnittsthemen Authentication, Rate-Limiting und Dokumentation. Für die Einordnung in die Gesamt-Architektur siehe unseren Softwareentwicklungs-Guide für den Mittelstand.
Warum API-Design 2026 wirklich relevant ist
Drei Entwicklungen verändern die API-Landschaft 2026 spürbar. Erstens haben Mobile-Apps, Single-Page-Frontends und KI-Agenten den Durchsatz von API-Aufrufen pro Endkunde gegenüber 2020 vervielfacht — eine moderne Web-App löst pro Sitzung leicht 200 bis 500 API-Calls aus, ein KI-Agent kann pro Anfrage zwei- bis dreistellige Tool-Calls absetzen. Zweitens fordert NIS2 für Betreiber wichtiger Einrichtungen erstmals dokumentierte Schnittstellen-Sicherheit, inklusive Audit-Logs, Rate-Limiting und Authentifizierungs-Konzept — eine API ohne Gateway-Layer ist bei Audits zunehmend ein Befund. Drittens werden API-Schemas durch OpenAPI 3.1, GraphQL Federation und Protobuf zunehmend zur Vertrags-Grundlage zwischen Teams und Lieferanten — wer hier keinen sauberen Vertrag pflegt, zahlt mit Integrations-Aufwand bei jedem Partner.
Operativ ist die größte Falle nicht die Wahl des Protokolls, sondern fehlende Disziplin. APIs ohne dokumentiertes Schema, ohne Versionierungs-Strategie und ohne Gateway-Schicht produzieren in der Wartung ein Vielfaches der Entwicklungs-Kosten — wir haben mehrere Mittelständler beraten, die nach drei Jahren über 400 ungenutzte REST-Endpunkte mitgeschleppt haben, weil niemand das Sunset-Datum verfolgt hat. Eine Beobachtung aus Audits: Unternehmen, die früh in OpenAPI-Schemas, einen Gateway-Layer und eine zentrale Dev-Portal-Dokumentation investiert haben, erreichen typischerweise 30 bis 50 Prozent kürzere Onboarding-Zeit für neue Partner und sparen bei Audits messbare Tage.
Praktisch heißt das: die Protokoll-Wahl ist wichtig, aber sekundär gegenüber den Querschnitts-Disziplinen Schema, Versionierung, Authentifizierung und Doku. Eine sauber dokumentierte REST-API ist fast immer besser als eine undokumentierte GraphQL-API. Im Folgenden beleuchten wir die fünf relevanten Protokoll-Ansätze und schließen mit einer Entscheidungs-Matrix.
REST — bewährtes Pattern, Versionierung, HATEOAS, OpenAPI
REST ist 2026 weiterhin das Default-Protokoll für externe APIs, und das aus guten Gründen: jeder Browser, jedes HTTP-Tool, jeder Framework-Generator versteht REST nativ, die Caching-Schicht via HTTP-Cache-Header ist kostenfrei mitgeliefert, und die Tooling-Landschaft mit Postman, Insomnia, Bruno, curl und httpie ist unschlagbar. Für die meisten mittelständischen Public-APIs ist REST mit OpenAPI 3.1 die richtige Wahl, solange die Endpunkt-Anzahl unter 100 bleibt.
Drei Disziplinen entscheiden über die Wartbarkeit. Erstens das Pattern: Ressourcen-orientiert denken (Nomen statt Verben, /invoices/123/items statt /getInvoiceItems), HTTP-Verben semantisch nutzen (GET idempotent, POST erzeugt, PUT ersetzt, PATCH modifiziert, DELETE löscht), Statuscodes präzise wählen (201 bei Erstellung, 409 bei Konflikt, 422 bei Validierungs-Fehler). Zweitens die Versionierung: URL-Versionierung mit /v1/ ist am einfachsten dokumentierbar und für externe APIs Standard. Wichtig ist ein klar kommunizierter Sunset-Zeitraum — die GitHub-Konvention von mindestens zwölf Monaten Übergangsfrist ist eine gute Vorlage. Drittens HATEOAS — das Konzept, dass Antworten Links zu nachfolgenden Aktionen enthalten. In der Praxis wird HATEOAS selten vollständig umgesetzt, weil die Clients die Links meist nicht nutzen. Pragmatisch reicht es, in Listen-Antworten Paginierungs-Links (next, prev, self) mitzuliefern.
OpenAPI 3.1 ist heute der De-facto-Standard für REST-Schemas. Die Spezifikation deckt JSON-Schema 2020-12 vollständig ab, was Validierung in beide Richtungen ermöglicht. Aus einer OpenAPI-Datei lassen sich Client-SDKs für TypeScript, Python, Java und Go automatisch generieren, Mock-Server hochfahren und Doku-Portale wie Stoplight oder Scalar direkt befüllen. Wer REST baut, sollte OpenAPI nicht als Doku-Nachgang behandeln, sondern als Vertrags-First-Artefakt — Schema vor Code, dann Generierung in beide Richtungen.
GraphQL — Schema, N+1, Federation, Apollo vs Relay vs urql
GraphQL löst zwei Probleme, die REST nicht elegant abbildet: Over-Fetching (Client bekommt mehr Felder als nötig) und Under-Fetching (Client muss mehrere Endpunkte hintereinander aufrufen, um eine Ansicht zu rendern). Stattdessen schickt der Client eine Abfrage mit den gewünschten Feldern, und der Server liefert exakt das. Für Frontends mit vielen unterschiedlichen Ansichten — typisch Mobile-App plus Web-App plus Partner-Portal auf derselben Datenbasis — ist GraphQL ein erheblicher Produktivitäts-Gewinn.
Das zentrale Risiko von GraphQL ist das N+1-Problem: eine einzige verschachtelte Abfrage kann hundert Datenbank-Aufrufe auslösen, wenn die Resolver naiv implementiert sind. Die Lösung heißt DataLoader — eine Batch- und Cache-Schicht, die parallele Resolver-Aufrufe zu einem Datenbank-Query zusammenfasst. Wer GraphQL ohne DataLoader-Pattern betreibt, wird die Latenz bei wachsender Last spüren. Ein zweites Risiko ist die Komplexitäts-Bombe: eine boshaft tief verschachtelte Abfrage kann den Server überlasten. Query-Depth-Limits, Query-Cost-Analysis und Persisted Queries sind dafür die Standard-Antworten.
Federation — die Möglichkeit, eine GraphQL-API aus mehreren Sub-Graphen zusammenzusetzen — ist 2026 reif und in Apollo Federation v2, Hot Chocolate (für .NET) und WunderGraph stabil verfügbar. Sie löst das Problem, dass ein zentrales Schema in großen Organisationen schnell zum Bottleneck wird. Für Mittelständler unter 30 Entwicklern ist Federation typischerweise Overengineering — ein monolithisches GraphQL-Schema reicht meist die ersten Jahre.
Bei den Clients ist die Landschaft 2026 übersichtlich: Apollo Client bleibt der breiteste Standard mit umfangreichem Cache und großer Community, Relay ist für sehr große Facebook-ähnliche Frontends mit strikter Compiler-Disziplin, urql ist die schlankere Alternative für TypeScript-Projekte, die nicht den vollen Apollo-Stack brauchen. Für Server-Komponenten in Next.js, Nuxt und SvelteKit ist urql wegen der besseren SSR-Integration oft die pragmatische Wahl.
gRPC — Protobuf, HTTP/2, Streaming, wann auf Mittelstands-APIs sinnvoll
gRPC ist ein RPC-Framework über HTTP/2 mit Protobuf-Schemas als Vertrag. Die Vorteile gegenüber REST sind quantifizierbar: Protobuf-Serialisierung ist 3- bis 10-mal schneller als JSON, die Payload-Größe ist 30 bis 50 Prozent kleiner, und HTTP/2-Multiplexing erlaubt viele parallele Anfragen über eine einzige TCP-Verbindung. Vier Streaming-Modi (unary, server-streaming, client-streaming, bidirectional) decken Fälle ab, die in REST nur über WebSockets oder Server-Sent-Events lösbar sind.
Für externe Kunden-APIs im Mittelstand ist gRPC selten die richtige Wahl, weil Browser-Clients gRPC nur über die gRPC-Web-Bridge sprechen können und das Tooling für externe Konsumenten deutlich dünner ist als bei REST oder GraphQL. Sinnvoll ist gRPC dagegen für die interne Service-zu-Service-Kommunikation, sobald Sie drei oder mehr Services in Go, Java, Rust oder C# betreiben. Die Protobuf-Schema-Definition als Single-Source-of-Truth, die automatische Code-Generierung in allen großen Sprachen und die Latenz-Reduktion gegen JSON-REST rechtfertigen den initialen Lern-Aufwand.
Eine pragmatische Architektur, die wir bei mehreren Mittelständlern erfolgreich gesehen haben: extern REST mit OpenAPI (für Browser-Clients, Partner und Dokumentation), intern gRPC zwischen Services (für Latenz und Effizienz), dazu Events über Kafka oder NATS für asynchrone Kopplung. Diese Drei-Schichten-Architektur skaliert sauber bis weit in den dreistelligen Millionen-Aufrufe-pro-Tag-Bereich.
Kostenlose API-Architektur-Beratung anfordern
Sie planen eine neue API oder konsolidieren eine gewachsene REST-Landschaft? Wir bieten ein 30-minütiges Erstgespräch — wir bewerten Ihren aktuellen Schnittstellen-Bestand, schlagen einen passenden Protokoll-Mix vor und geben einen realistischen Migrations-Pfad.
Kostenlose API-Beratung anforderntRPC — typsicher zwischen TS-Front- und Backend
tRPC ist ein TypeScript-Framework für typsichere RPCs ohne Code-Generierung. Die Server-Funktionen werden direkt im Client als Typen importiert — Frontend und Backend teilen denselben TypeScript-Typ-Baum, und Refactorings im Backend brechen das Frontend zur Compile-Zeit, nicht erst zur Laufzeit. Für TypeScript-Monorepos mit Next.js, Nuxt oder Remix ist tRPC 2026 die produktivste Wahl, weil der gesamte Schema-Layer (OpenAPI, Codegen, Validierung) entfällt.
Die Grenzen sind klar: tRPC funktioniert nur, wenn beide Seiten TypeScript sind und ideally im gleichen Repository liegen. Sobald eine native Mobile-App, ein Python-Datenpipeline-Consumer oder ein externer Partner ins Spiel kommen, brauchen Sie ein sprach-unabhängiges Schema — also REST mit OpenAPI oder GraphQL. Eine pragmatische Lösung ist die Kombination: tRPC für die interne Next.js-App, REST oder GraphQL für externe Konsumenten, beide auf dieselben Service-Layer-Funktionen. Für die Wahl des Stacks insgesamt siehe unseren Leitfaden zum Webapp-Entwicklungs-Stack 2026.
Webhooks und Event-driven (Kafka, NATS, SQS) als Ergänzung
Synchrone APIs lösen das Pull-Pattern, aber viele Geschäftsprozesse sind ihrer Natur nach asynchron — eine Bestellung wird angelegt, eine Lieferung erstellt, eine Rechnung gestellt, eine Zahlung verbucht. Wer diese Ketten über synchrone REST-Calls verbindet, baut sich fragilen Kopplungs-Dominoeffekt. Webhooks und Event-Streaming sind die ergänzende Pattern-Schicht.
Webhooks sind die einfachste Form: der Konsument registriert eine URL, und der Anbieter ruft sie bei Ereignissen auf. Die Standard-Disziplinen sind signierte Payloads (HMAC-SHA256 mit Shared Secret), Retry-Logik mit exponentiellem Backoff, Idempotenz-Schlüssel und Dead-Letter-Queue für endgültig fehlgeschlagene Lieferungen. Für Webhook-Anbieter im Mittelstand ist die Svix-Library oder ein eigener kleiner Worker-Service mit BullMQ pragmatisch genug.
Für interne Architekturen mit höherem Durchsatz sind Message-Broker die richtige Wahl. Drei Alternativen sind 2026 relevant: Apache Kafka — der Standard für hochvolumige Event-Streams mit Replay-Fähigkeit, ab fünfstelliger Events-pro-Sekunde sinnvoll, aber operativ aufwendig. NATS — leichtgewichtiger, Go-basiert, JetStream als Persistenz-Layer, sehr gut für mittelständische Setups und Edge-Workloads. AWS SQS oder Azure Service Bus — Cloud-Managed-Alternativen mit Pay-per-Message-Pricing und minimalem Betrieb. Eine Faustregel: wenn Sie weniger als 1.000 Events pro Sekunde verarbeiten, ist NATS oder SQS einfacher als Kafka.
Wann was nehmen — Entscheidungs-Matrix
Die folgende Matrix verdichtet die Auswahl-Kriterien für mittelständische Projekte. Sie ersetzt keine Architektur-Analyse, hilft aber in der ersten Sortierung.
| Anwendungsfall | Empfehlung | Begründung |
|---|---|---|
| Öffentliche Kunden-API für Partner | REST + OpenAPI 3.1 | Breiteste Tooling-Akzeptanz, Browser-nativ, einfach zu dokumentieren |
| Mobile-App + Web-App auf gleicher Datenbasis | GraphQL | Verhindert Over-Fetching, ein Schema für viele Clients |
| Service-zu-Service intern, mehrere Sprachen | gRPC + Protobuf | Effizienz, Streaming, Vertrags-First, Codegen in allen Sprachen |
| Next.js/Nuxt-Monorepo, nur TypeScript | tRPC | Typ-Sicherheit ohne Codegen-Layer, schnellste Entwicklung |
| Asynchrone Geschäftsprozesse, Partner-Integration | Webhooks + signierte Payloads | Einfaches Pattern, ohne Broker-Betrieb beim Konsumenten |
| Hochvolumige Events intern (über 10k/s) | Kafka oder NATS JetStream | Replay, Skalierung, Entkopplung von Producer und Consumer |
Die häufigste sinnvolle Kombination im Mittelstand ist drei-schichtig: REST nach außen für maximale Anschlussfähigkeit, gRPC oder tRPC nach innen für Effizienz, Events über NATS oder Kafka für Entkopplung. Wer ohne harten Grund mit GraphQL oder gRPC für externe APIs startet, zahlt mit Onboarding-Aufwand für Partner-Entwickler, die das Tooling nicht kennen.
Authentication — OAuth 2.1, OIDC, API-Keys, mTLS
Die Authentifizierungs-Schicht ist 2026 differenziert nach Konsumenten-Typ zu wählen. Vier Optionen decken die meisten Mittelstands-Anforderungen ab.
- OAuth 2.1 mit OIDCDer Standard für Anwender-API-Zugriff durch Web- und Mobile-Apps. OAuth 2.1 konsolidiert die Best Practices von OAuth 2.0 — PKCE pflicht, kein implicit flow, refresh-token-rotation. OIDC ergänzt die Identitäts-Schicht für Login. Anbieter wie Keycloak, Auth0, Zitadel oder Microsoft Entra ID bringen den Layer als fertigen Service.
- API-KeysGeeignet für Server-zu-Server-Integrationen mit Partnern, internen Skripten und einfachen B2B-Szenarien. Wichtig: Keys nie in URLs, immer im Header (Authorization oder X-API-Key), Rotation alle 90 Tage, Scope-Beschränkung pro Key, dedizierte Audit-Logs.
- mTLS — Mutual TLSFür hochsensible B2B-Verbindungen mit großen Industrie-Kunden oder Behörden. Beide Seiten weisen sich per Client-Zertifikat aus, kein Header-basiertes Geheimnis. Aufwand ist die Zertifikats-Verwaltung, Belohnung ist Phishing-resistente Authentifizierung mit klarer Audit-Spur.
- JWT-Bearer-TokenDas verbreitetste Token-Format für OAuth-Flows. Wichtige Disziplinen: kurze Lebensdauer (15 Minuten), Refresh-Token getrennt verwaltet, niemals Geheimnisse in den Claims, Signatur via RS256 oder EdDSA, niemals via HS256 mit shared secret zwischen API-Anbieter und Konsument.
Eine pragmatische Architektur kombiniert OIDC für Anwender-Logins, OAuth-Client-Credentials für Service-Accounts und mTLS für die wenigen B2B-Partner mit besonders hohen Sicherheits-Anforderungen. Für die Einbettung in eine Microservices-Architektur siehe unseren Cluster Monolith vs. Microservices.
Rate-Limiting und API-Gateway — Kong, Tyk, Apigee, AWS, KrakenD
Ein API-Gateway konsolidiert Rate-Limiting, Authentifizierung, Logging, Caching und Transformations-Logik in einer Schicht vor den Services. Die fünf relevanten Optionen für mittelständische Setups sind:
- Kong — der breite Open-Source-Standard, OSS-Edition kostenfrei selbst betrieben, Enterprise-Edition mit Dev-Portal und erweiterten Plugins
- Tyk — britischer Anbieter, OSS-Edition reif, gute Multi-Tenant-Unterstützung, sinnvoll für interne Plattform-Teams
- Apigee — Google-Cloud-Enterprise-Lösung, sehr stark in Analytics und Dev-Portal, für mittelständische Setups oft überdimensioniert und teuer
- AWS API Gateway — Cloud-nativ, Pay-per-Request-Pricing, gute Integration mit Lambda und IAM, sinnvoll bei AWS-zentrierter Architektur
- KrakenD — schlankes Go-basiertes Gateway, deklarative Konfiguration, sehr gut für Aggregations-Endpunkte und Edge-Setups
Für Rate-Limiting reichen die Standard-Algorithmen Token-Bucket und Sliding-Window für 90 Prozent der Fälle. Wichtig ist die Differenzierung: pro API-Key, pro Endpunkt, pro Nutzergruppe — eine globale Rate-Grenze ist meist zu grob. Standard-HTTP-Header X-RateLimit-Limit, X-RateLimit-Remaining und Retry-After gehören in jede Antwort, damit Clients sich anpassen können.
Dokumentation — Stoplight, Mintlify, Scalar, ReadMe
Eine API ohne gute Doku ist eine API ohne Konsumenten. Vier Doku-Plattformen sind 2026 die relevanten Optionen für mittelständische API-Anbieter:
- Stoplight — visueller OpenAPI-Editor plus Doku-Portal, gut für Schema-First-Workflow, On-Premise verfügbar
- Mintlify — moderner Markdown-basierter Stack, sehr schnelle Performance, gut integriert mit GitHub-Workflows
- Scalar — Open-Source-Alternative zu Swagger UI, deutlich schöneres UX, einfach selbst-gehostet
- ReadMe — kommerzieller Marktführer mit starkem Analytics-Layer, der zeigt, wo Konsumenten in der Doku abbrechen
Pragmatisch sinnvoll ist eine selbst-gehostete Scalar-Instanz mit OpenAPI-Quelle aus dem Code-Repository plus einem Versions-Tag pro API-Major-Version. Wer mit externen Partnern arbeitet, sollte zusätzlich eine Sandbox-Umgebung mit Test-Credentials anbieten und ein Postman- oder Bruno-Collection-Download bereitstellen.
Reepa-API-Standards
In unseren Mittelstands-Projekten gelten neun Standards, die wir nach mehreren Audit-Iterationen als Minimum etabliert haben. Sie sind nicht zwingend, aber wer sie bricht, sollte den Bruch dokumentieren und begründen.
- Schema-First, nicht Code-FirstOpenAPI 3.1 oder Protobuf wird vor der Implementierung versioniert geschrieben und als Pull-Request reviewed. Das Schema ist der Vertrag, nicht die Implementierung.
- URL-Versionierung mit Sunset-Header/v1/, /v2/ in der URL, Sunset-Header bei deprecated Versionen, minimum 12 Monate Übergangsfrist nach Ankündigung.
- Idempotenz-Schlüssel für alle POST-EndpunkteIdempotency-Key-Header mit UUID, serverseitige Deduplizierung über 24 Stunden, dokumentiert in der API-Referenz.
- Pagination via Cursor, nicht OffsetBei Listen über 100 Einträge ausschließlich Cursor-basierte Pagination — Offset bricht bei Sortier-Wechseln und ist bei großen Datenmengen ineffizient.
- Fehler-Format RFC 7807 Problem DetailsEinheitliches Fehler-Format mit type, title, status, detail, instance — keine ad-hoc-Error-Strukturen pro Endpunkt.
- Audit-Log pro SchreibvorgangJeder PUT, POST, PATCH, DELETE wird mit Akteur, Zeitpunkt, Vorher- und Nachher-Wert geloggt — pflicht bei DSGVO und NIS2.
- Rate-Limiting pro API-Key, dokumentiertToken-Bucket-Algorithmus, Limits pro Tier dokumentiert, Header X-RateLimit-* bei jeder Antwort.
- OAuth 2.1 mit PKCE für Anwender, Client-Credentials für ServicesImplicit Flow ist verboten, JWT-Tokens unter 15 Minuten Lebensdauer, Refresh-Token-Rotation.
- OpenAPI im Repository als Single Source of TruthDoku, Mock-Server, Client-SDKs und Validierung werden aus der gleichen OpenAPI-Datei generiert — keine parallel gepflegten Markdown-Dateien.
Diese Standards lassen sich in einem zweiwöchigen API-Audit aufsetzen und sparen über die Lebensdauer der API mehrfach den initialen Aufwand. Sie sind außerdem das Fundament, auf dem ein SaaS-Aufbau nach 18 bis 24 Monaten nicht in technischen Schulden ertrinkt.
Häufige Fragen
Wann lohnt sich GraphQL gegenüber REST im Mittelstand?
GraphQL lohnt sich, wenn mehrere unterschiedliche Clients — Web, Mobile, Partner-Portale — auf dieselbe Datenbasis zugreifen und jeweils andere Felder brauchen. Sobald die Anzahl der REST-Endpunkte wegen Frontend-spezifischer Spezialfälle über 80 bis 100 wächst, oder wenn das Mobile-Team über Over-Fetching klagt, ist GraphQL eine sinnvolle Konsolidierung. Für kleine APIs unter 30 Endpunkten ist REST mit OpenAPI fast immer einfacher zu betreiben.
Ist gRPC für mittelständische APIs sinnvoll?
Im klassischen Mittelstand selten als externe Kunden-API, aber sehr oft sinnvoll für interne Service-zu-Service-Kommunikation. Wenn Sie mehrere Services in Go oder Java betreiben, die unter sich kommunizieren, bringt gRPC mit Protobuf-Schemas, HTTP/2-Streaming und 5- bis 10-facher Effizienz gegenüber JSON deutliche Vorteile. Browser-Clients sprechen gRPC nur via gRPC-Web-Bridge, deshalb bleibt die externe Schnittstelle meist REST oder GraphQL.
Was unterscheidet tRPC von GraphQL?
tRPC ist ein TypeScript-only-RPC-Framework ohne Schema-Sprache — Typen werden direkt aus dem Server-Code in den Client importiert. Das spart Code-Generierung und Schema-Wartung. tRPC ist optimal, wenn Frontend und Backend beide TypeScript sind und im gleichen Monorepo liegen. GraphQL ist sprachunabhängig und besser, wenn mehrere Backend-Sprachen oder externe Konsumenten beteiligt sind. tRPC ist kein Ersatz für eine öffentliche Drittanbieter-API.
Brauche ich ein API-Gateway, wenn ich nur eine API habe?
Auch bei einer einzelnen API ist ein Gateway sinnvoll, sobald Rate-Limiting, zentrale Authentifizierung, IP-Filterung oder Audit-Logging gefordert sind — und genau diese Anforderungen kommen mit DSGVO-Audits, NIS2 und größeren B2B-Kunden regelmäßig. Für kleine Setups reicht oft Kong OSS oder KrakenD self-hosted, ab Cloud-First-Architekturen sind AWS API Gateway oder Azure API Management einfacher zu betreiben.
Wie versioniere ich eine API ohne Breaking Changes?
Zwei Strategien sind in der Praxis bewährt: URL-Versionierung mit /v1/, /v2/ für REST — einfach, gut dokumentierbar, aber pflegeintensiv bei vielen Versionen. Für GraphQL gilt das Feld-basierte Modell — neue Felder hinzufügen, alte als deprecated markieren, niemals löschen, und nach Telemetrie-gestütztem Nachweis der Nicht-Nutzung entfernen. Wichtig in beiden Fällen: ein dokumentierter Deprecation-Zeitraum von mindestens sechs Monaten und ein klar kommunizierter Sunset-Header.
Bereit, Ihre API-Landschaft sauber aufzusetzen?
Sprechen wir 30 Minuten unverbindlich. Wir bewerten Ihren aktuellen Schnittstellen-Bestand, schlagen einen passenden Protokoll-Mix vor und liefern einen realistischen Fahrplan für die ersten 90 Tage — inklusive Gateway-Architektur, Versionierungs-Strategie und Doku-Setup.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security und mehrere SaaS-Plattformen für den Mittelstand. Schreibt regelmäßig über API-Design, Cloud-Architektur, NIS2 und DSGVO-Compliance.
Geprüft am: 22. Mai 2026 · Mehr über Hakan