Schnittstellen-Kompetenz API-Systeme Vibe-Coding Agentic-Coding - aiMOOC
Schnittstellen-Kompetenz API-Systeme Vibe-Coding Agentic-Coding - aiMOOC
Einleitung
Schnittstellen-Kompetenz ist die Fähigkeit, Schnittstellen zwischen digitalen Systemen zu verstehen, zu entwerfen, zu dokumentieren, zu testen und verantwortungsvoll zu nutzen. Sie ist ein Fundament moderner API-Systeme, weil fast jede zeitgemäße Anwendung Daten, Dienste, Modelle oder Werkzeuge über klar definierte Web-APIs verbindet. In Zeiten von Künstlicher Intelligenz, Vibe-Coding und Agentic-Coding wird diese Kompetenz noch wichtiger: Wer mit KI Werkzeuge baut, muss verstehen, welche Systeme miteinander sprechen, welche Daten übertragen werden, welche Rechte gelten und wie Fehler sicher behandelt werden.
Dieser aiMOOC führt Dich von den Grundlagen einer Schnittstelle über REST, HTTP, JSON, OpenAPI, API-Sicherheit und API-Gateways bis hin zu KI-gestützter Softwareentwicklung. Du lernst, warum schnelles Formulieren von KI-Aufträgen allein nicht ausreicht und wie aus einem spontanen Prototyp ein nachvollziehbares, testbares und sicheres System werden kann.
{{#ev:youtube|https://www.youtube.com/watch?v=HYuP34NejDE%7C500%7Ccenter}}
Lernziele
Nach diesem aiMOOC kannst Du erklären, was eine API ist, wie Client und Server über HTTP kommunizieren und warum ein API-Vertrag mehr ist als eine technische Adresse. Du kannst typische Bestandteile einer REST-API unterscheiden, einfache JSON-Antworten lesen, Statuscodes deuten, Risiken in der API-Sicherheit erkennen und Anforderungen für KI-Agenten so formulieren, dass Agentic-Coding überprüfbar, nachvollziehbar und verantwortungsvoll bleibt.
Was ist eine Schnittstelle?
Eine Schnittstelle ist eine vereinbarte Grenze zwischen zwei Systemen. Sie legt fest, wie ein System angesprochen werden kann, welche Daten übergeben werden dürfen, welche Antworten zu erwarten sind und welche Regeln gelten. Eine gute Schnittstelle reduziert Unsicherheit: Menschen, Programme und KI-Agenten müssen nicht das gesamte Innenleben eines Systems kennen, sondern nur den Vertrag, über den sie es korrekt nutzen.
Im Alltag findest Du Schnittstellen überall. Eine Tastatur ist eine Schnittstelle zwischen Mensch und Computer. Ein USB-Anschluss ist eine Schnittstelle zwischen Gerät und Rechner. Eine API ist eine digitale Schnittstelle zwischen Software-Systemen. Wenn eine Wetter-App Daten von einem Wetterdienst abruft, wenn ein Online-Shop Zahlungen über einen Zahlungsdienst auslöst oder wenn ein KI-Agent eine Datenbank abfragt, geschieht dies meist über eine Schnittstelle.
Warum Schnittstellen-Kompetenz so wichtig ist
Schnittstellen-Kompetenz verbindet technische, analytische und verantwortungsbezogene Fähigkeiten. Du musst technische Dokumentationen lesen, Datenstrukturen verstehen, Sicherheitsregeln beachten und die Folgen automatisierter Entscheidungen einschätzen können. Besonders bei Agentic-Coding reicht es nicht, eine KI zu bitten: „Baue mir eine App.“ Du musst prüfen, welche externen Dienste genutzt werden, welche Rechte ein Agent erhält, wie Tests durchgeführt werden und ob die erzeugte Lösung langfristig wartbar bleibt.
Eine moderne Anwendung ist selten ein einzelnes Programm. Sie ist häufig ein Geflecht aus Frontend, Backend, Datenbank, Cloud-Diensten, Authentifizierung, Zahlungsdiensten, Kartenmaterial, KI-Modellen, Monitoring-Systemen und externen APIs. Schnittstellen-Kompetenz hilft Dir, dieses Geflecht zu verstehen und kontrolliert zu gestalten.
Grundmodell einer Web-API
Eine Web-API arbeitet häufig nach dem Client-Server-Modell. Ein Client stellt eine Anfrage, der Server verarbeitet sie und sendet eine Antwort zurück. Die Anfrage enthält meist eine Adresse, eine HTTP-Methode, optionale Parameter, Header und manchmal einen Anfragekörper. Die Antwort enthält einen Statuscode, Header und häufig Daten im Format JSON.
Das Diagramm zeigt das Grundprinzip einer Web-API: Der Client fragt Daten an, der Server verarbeitet die Anfrage und gibt strukturierte Daten zurück. Dieses einfache Muster bildet die Basis für viele komplexe Systeme, von Lernplattformen über Online-Banking bis hin zu KI-gestützten Entwicklungsumgebungen.
Beispiel einer API-Anfrage ohne Rohdatenblock
Eine Anfrage an eine Kurs-API lässt sich über ihre Bestandteile beschreiben. Die Adresse könnte auf einen bestimmten Kurs zeigen, die Methode GET würde das Lesen ausdrücken, ein Header könnte das gewünschte Antwortformat nennen und ein Zugriffsnachweis könnte zeigen, dass die Anfrage berechtigt ist. Eine Antwort könnte dann die Kursnummer, den Kurstitel, das Lernniveau und den Veröffentlichungsstatus enthalten. An diesem Beispiel erkennst Du zentrale Konzepte: Die URL benennt eine Ressource, die Methode beschreibt die Absicht, das Datenformat strukturiert die Antwort und die Autorisierung zeigt, dass nicht jeder Zugriff automatisch erlaubt ist.
Zentrale API-Bausteine
| Baustein | Bedeutung | Beispiel |
|---|---|---|
| Endpunkt | Eine konkrete Adresse, über die eine Funktion oder Ressource erreichbar ist. | Kurs mit einer bestimmten Kennung |
| HTTP-Methode | Beschreibt, welche Aktion ausgeführt werden soll. | Lesen, Erstellen, Ändern, Löschen |
| Ressource | Ein fachliches Objekt, das über die API angesprochen wird. | Kurs, Nutzerkonto, Bestellung |
| JSON | Häufiges textbasiertes Datenformat für strukturierte API-Daten. | Kursdaten mit Titel und Status |
| Statuscode | Numerischer Hinweis auf Erfolg, Fehler oder Weiterleitung. | Erfolg, fehlende Berechtigung, nicht gefunden |
| Authentifizierung | Prüfung, wer eine Anfrage stellt. | Anmeldung, Token, API-Key |
| Autorisierung | Prüfung, was eine angemeldete Person oder Anwendung tun darf. | Rollen, Rechte, Zugriff auf Objekte |
| Rate Limiting | Begrenzung der Anfragen pro Zeitraum. | Begrenzte Zahl von Anfragen pro Minute |
REST, Ressourcen und HTTP-Methoden
REST ist ein Architekturstil für verteilte Systeme. In vielen Lernkontexten wird eine REST-API vereinfacht als HTTP-basierter Dienst verstanden, bei dem Ressourcen über eindeutige Adressen angesprochen werden. Wichtig ist die Idee, dass nicht Befehle wie „gib mir alle Kurse“ im Vordergrund stehen, sondern Ressourcen wie Kurse, Aufgaben oder Nutzerkonten.
Typische HTTP-Methoden haben unterschiedliche Bedeutungen. GET wird zum Lesen verwendet, POST häufig zum Erstellen, PUT zum vollständigen Ersetzen, PATCH zum teilweisen Ändern und DELETE zum Löschen. Schnittstellen-Kompetenz bedeutet, diese Bedeutungen nicht nur auswendig zu kennen, sondern sie fachlich passend und sicher einzusetzen.
Statuscodes verstehen
| Bereich | Bedeutung | Beispiele |
|---|---|---|
| 2xx | Die Anfrage war erfolgreich. | Erfolgreich gelesen oder neu erstellt |
| 3xx | Eine Weiterleitung oder alternative Adresse ist relevant. | Dauerhaft verschoben oder nicht verändert |
| 4xx | Der Client hat ein Problem verursacht oder ist nicht berechtigt. | Ungültige Anfrage, nicht angemeldet, verboten, nicht gefunden, zu viele Anfragen |
| 5xx | Auf Serverseite ist ein Fehler aufgetreten. | Interner Fehler oder Dienst nicht verfügbar |
Wer APIs testen oder mit KI erzeugten Code prüfen möchte, muss Statuscodes interpretieren können. Ein Fehler wegen fehlender Anmeldung bedeutet nicht dasselbe wie ein Fehler wegen fehlender Berechtigung. Schnittstellen-Kompetenz zeigt sich darin, solche Unterschiede zu erkennen und technisch korrekt zu behandeln.
OpenAPI als API-Vertrag
OpenAPI ist ein verbreitetes Format, um HTTP-APIs maschinenlesbar zu beschreiben. Ein OpenAPI-Dokument kann Endpunkte, Methoden, Parameter, Anfragekörper, Antworten, Fehlerfälle und Sicherheitsmechanismen festlegen. Damit wird aus einer vagen Idee ein überprüfbarer Vertrag.
| Element eines API-Vertrags | Leitfrage | Beispielhafte Beschreibung |
|---|---|---|
| Titel und Version | Wie heißt die API und welche Fassung gilt? | Kurs-API, erste veröffentlichte Version |
| Ressource | Welches fachliche Objekt wird angesprochen? | Einzelner Kurs |
| Methode | Welche Aktion ist erlaubt? | Kursdaten lesen |
| Parameter | Welche Angaben muss der Client liefern? | Kennung des Kurses |
| Erfolgsantwort | Was wird bei Erfolg zurückgegeben? | Kursdaten mit Titel, Niveau und Status |
| Fehlerantwort | Was passiert bei Problemen? | Nicht angemeldet, nicht erlaubt oder Kurs nicht gefunden |
| Sicherheit | Welche Zugriffsnachweise sind nötig? | Anmeldung mit begrenzten Rechten |
Für Vibe-Coding und Agentic-Coding ist ein solcher Vertrag besonders wertvoll. Eine KI kann auf Basis einer klaren Spezifikation Code, Tests oder Dokumentation erzeugen. Ohne Spezifikation entstehen dagegen leicht Annahmen, die nicht stimmen: erfundene Endpunkte, fehlende Fehlerbehandlung oder unsichere Standardlösungen.
API-Gateway und moderne Systemarchitektur
In größeren Systemen greifen Clients oft nicht direkt auf jeden einzelnen Dienst zu. Ein API-Gateway kann als zentrale Eingangsschicht dienen. Es kann Anfragen weiterleiten, Authentifizierung prüfen, Protokolle vereinheitlichen, Last verteilen, Zugriffe protokollieren oder Ratenbegrenzungen durchsetzen.
Ein API-Gateway löst nicht alle Probleme. Es ersetzt keine saubere Autorisierung in den Fachdiensten und keine gute API-Gestaltung. Es kann aber helfen, komplexe Microservice-Landschaften übersichtlicher, kontrollierbarer und sicherer zu machen.
API-Sicherheit
API-Sicherheit ist ein Kernbereich der Schnittstellen-Kompetenz. APIs verarbeiten häufig sensible Daten, Geschäftslogik oder Funktionen mit realen Auswirkungen. Eine unsichere API kann dazu führen, dass Daten fremder Nutzerinnen und Nutzer ausgelesen, Bestellungen manipuliert oder interne Systeme missbraucht werden.
Besonders wichtig sind Authentifizierung, Autorisierung, Eingabevalidierung, Transportverschlüsselung, Rate Limiting, sichere Fehlerausgaben und ein vollständiges API-Inventar. Ein häufiger Fehler besteht darin, nur zu prüfen, ob jemand angemeldet ist, aber nicht, ob diese Person genau auf dieses Objekt zugreifen darf. Dieses Problem wird oft als fehlerhafte objektbezogene Autorisierung beschrieben.
Sicherheitsprinzipien für APIs
| Prinzip | Bedeutung für APIs | Prüffrage |
|---|---|---|
| Least Privilege | Jede Anwendung erhält nur die Rechte, die sie wirklich braucht. | Darf dieser Zugriff genau diese Aktion ausführen? |
| Defense in Depth | Mehrere Schutzschichten sichern das System. | Gibt es Schutz in Gateway, Service und Datenbanklogik? |
| Fail Secure | Fehler dürfen nicht zu offeneren Berechtigungen führen. | Wird bei Unsicherheit abgelehnt statt erlaubt? |
| Secure by Default | Neue Endpunkte sind zunächst restriktiv. | Muss Zugriff bewusst freigegeben werden? |
| Observability | Relevante Ereignisse sind nachvollziehbar. | Werden verdächtige Zugriffsmuster erkannt? |
Vibe-Coding
Vibe-Coding beschreibt eine Form der KI-gestützten Softwareentwicklung, bei der Menschen ihre Absicht in natürlicher Sprache formulieren und ein Sprachmodell daraus Code erzeugt. Der Reiz liegt in der Geschwindigkeit: Ideen können schnell ausprobiert, Prototypen gebaut und Varianten erzeugt werden. Der Begriff wird jedoch häufig mit einem riskanten Stil verbunden, bei dem erzeugter Code übernommen wird, ohne ihn vollständig zu verstehen, zu testen oder architektonisch einzuordnen.
Für Lernende ist wichtig: Nicht jede KI-Unterstützung ist automatisch problematisches Vibe-Coding. Wenn Du KI-Code prüfst, testest, erklärst, verbesserst und dokumentierst, nutzt Du KI als Werkzeug. Problematisch wird es, wenn Du Dich allein auf das Ergebnis verlässt und die Schnittstellen, Datenflüsse, Berechtigungen und Fehlerfälle nicht mehr verstehst.
Chancen und Risiken des Vibe-Codings
| Chance | Risiko | Kompetente Gegenmaßnahme |
|---|---|---|
| Schnelles Prototyping | Technische Schulden durch zufällig gewachsene Struktur | Vor dem Ausbau Architektur und API-Vertrag klären |
| Niedrige Einstiegshürde | Fehlendes Verständnis für erzeugten Code | Code erklären lassen, manuell prüfen und testen |
| Kreative Varianten | Halluzinierte Funktionen oder Endpunkte | Dokumentation, OpenAPI-Datei und Tests verwenden |
| Produktive Fehlerbehebung | Unsichere Standardmuster | Security-Checkliste und Code-Review durchführen |
| Schnelle Integration externer Dienste | Offenlegung von Schlüsseln oder personenbezogenen Daten | Geheimnisse schützen und Datenschutz prüfen |
Agentic-Coding
Agentic-Coding geht über einzelne Codevorschläge hinaus. Ein KI-Agent erhält ein Ziel, plant Zwischenschritte, nutzt Werkzeuge, liest Dateien, ruft APIs auf, erzeugt Code, führt Tests aus und verbessert Ergebnisse iterativ. Dadurch entsteht eine neue Arbeitsteilung: Der Mensch formuliert Ziele, Grenzen und Qualitätskriterien; der Agent führt Teilschritte aus; der Mensch überprüft, priorisiert und verantwortet.
Für Agentic-Coding sind Schnittstellen besonders wichtig, weil Agenten Werkzeuge meist über APIs nutzen. Ein Agent kann nur dann zuverlässig handeln, wenn seine Werkzeuge klare Namen, Eingabeschemata, Ausgabeschemata, Rechte, Grenzen und Fehlerfälle besitzen. Eine schlecht beschriebene Schnittstelle führt zu falschen Werkzeugaufrufen, unnötigen Schritten oder gefährlichen Nebenwirkungen.
Vom vagen Wunsch zur kontrollierten Agenten-Aufgabe
Ein schwacher KI-Auftrag lautet: „Baue mir eine API für Kurse.“ Ein kompetenter Auftrag an einen Agenten beschreibt Ziel, Kontext, Datenmodell, Sicherheitsregeln, Akzeptanzkriterien und Tests. Dazu gehören zum Beispiel eine klare Beschreibung der Ressourcen, begrenzte Schreibrechte für Lehrkräfte, Leserechte für berechtigte Personen, erwartete Fehlerfälle, Beispieltests und die ausdrückliche Grenze, keine echten Zugangsdaten oder produktiven Änderungen zu verwenden. So wird die Schnittstellenarbeit prüfbar. Der Agent kann zielgerichtet arbeiten, und Du kannst das Ergebnis anhand der Kriterien bewerten.
Vibe-Coding und Agentic-Coding im Vergleich
| Aspekt | Vibe-Coding | Agentic-Coding |
|---|---|---|
| Ausgangspunkt | Idee, Stimmung, grobe Absicht | Ziel, Plan, Werkzeuge, Kriterien |
| Arbeitsweise | Dialogisches Erzeugen und Nachsteuern von Code | Mehrschrittiges Planen, Ausführen, Testen und Überarbeiten |
| Stärke | Sehr schnelle Prototypen und kreative Exploration | Strukturierte Bearbeitung komplexer Entwicklungsaufgaben |
| Risiko | Unverstandener Code, Lücken, technische Schulden | Falsche Werkzeugnutzung, zu große Rechte, schwer kontrollierbare Aktionen |
| Schnittstellenbedarf | Dokumentation hilft, aber wird oft vernachlässigt | Klare API-Verträge, Tool-Schemas und Rechte sind zentral |
| Gute Praxis | Immer erklären, testen, refaktorisieren und dokumentieren | Agenten mit engen Rechten, Tests, Logs und menschlicher Freigabe einsetzen |
Schnittstellen-Kompetenz als Future Skill
Schnittstellen-Kompetenz ist nicht nur eine Fähigkeit für professionelle Entwicklerinnen und Entwickler. Sie betrifft auch Medienbildung, Datenkompetenz, Berufsbildung, Wirtschaftsinformatik, Informatikunterricht und viele Studienfächer. Wer Schnittstellen versteht, kann digitale Systeme kritisch beurteilen, Automatisierung verantwortungsvoll gestalten und KI-Werkzeuge produktiv nutzen.
Im Zentrum steht die Frage: Welche Vereinbarung macht Zusammenarbeit zwischen Systemen zuverlässig? Diese Frage gilt für Menschen, Programme und KI-Agenten gleichermaßen. Gute Schnittstellen sind verständlich, konsistent, sicher, dokumentiert, versioniert und testbar.
Qualitätskriterien für gute APIs
| Qualitätskriterium | Erklärung | Beispielhafte Prüffrage |
|---|---|---|
| Konsistenz | Ähnliche Dinge werden ähnlich benannt und bedient. | Folgen alle Endpunkte denselben Namensregeln? |
| Lesbarkeit | Adressen, Parameter und Antworten sind verständlich. | Versteht ein neuer Entwickler die Ressource ohne Zusatzwissen? |
| Stabilität | Änderungen zerstören bestehende Clients nicht unnötig. | Gibt es Versionierung und Migrationshinweise? |
| Sicherheit | Zugriff, Daten und Fehlerfälle sind geschützt. | Gibt es Autorisierung pro Objekt und Funktion? |
| Testbarkeit | Verhalten kann automatisiert überprüft werden. | Gibt es Contract-Tests und Beispielantworten? |
| Beobachtbarkeit | Nutzung und Fehler sind nachvollziehbar. | Werden Logs, Metriken und Traces sinnvoll erfasst? |
| Dokumentation | Menschen und Maschinen verstehen die API. | Gibt es OpenAPI, Beispiele und klare Fehlerbeschreibungen? |
Mini-Labor: Eine API zuerst als Vertrag denken
Stell Dir vor, Du willst eine Lernplattform erweitern. Lernende sollen eigene Projektabgaben hochladen, Lehrkräfte sollen Feedback geben und ein KI-Agent soll passende Lernhinweise erzeugen. Ohne Schnittstellen-Kompetenz würdest Du vielleicht sofort Code generieren lassen. Mit Schnittstellen-Kompetenz stellst Du zuerst Vertragsfragen.
| Frage | Warum sie wichtig ist |
|---|---|
| Welche Ressourcen gibt es? | Ohne Ressourcenmodell entstehen unklare Endpunkte. |
| Wer darf welche Aktion ausführen? | Ohne Rechtekonzept entstehen Datenlecks. |
| Welche Daten sind erforderlich? | Ohne Schema entstehen fehlerhafte oder unvollständige Anfragen. |
| Welche Fehlerfälle sind möglich? | Ohne Fehlerdesign können Clients nicht sinnvoll reagieren. |
| Welche Aktionen haben Nebenwirkungen? | Agenten dürfen riskante Aktionen nicht unkontrolliert ausführen. |
| Wie wird getestet? | Ohne Tests bleibt unklar, ob die API wirklich funktioniert. |
| Entwurfsbereich | Beispielhafte Festlegung |
|---|---|
| Ressource | Projektabgabe |
| Lesen | Lernende sehen eigene Abgaben, Lehrkräfte sehen Abgaben ihrer Kurse. |
| Erstellen | Lernende erstellen Abgaben in belegten Kursen. |
| Bewerten | Lehrkräfte erstellen Feedback. |
| KI-Hinweis | Ein Agent erzeugt Lernhinweise, aber keine endgültige Note. |
| Sicherheitsregel | Jede Anfrage prüft Kurszugehörigkeit und Rolle. |
Checkliste für KI-Aufträge zu APIs und Agenten
Wenn Du KI zum Entwickeln nutzt, hilft eine strukturierte Checkliste. Sie verwandelt eine spontane Idee in eine kontrollierbare Entwicklungsaufgabe.
| Baustein | Leitfrage | Beispiel |
|---|---|---|
| Ziel | Was soll am Ende funktionieren? | Eine REST-API für Projektabgaben entwerfen |
| Kontext | In welchem System wird die Lösung genutzt? | Schulische Lernplattform mit Rollen für Lernende und Lehrkräfte |
| Datenmodell | Welche Objekte und Felder gibt es? | Projekt, Abgabe, Feedback, Datei, Kurs |
| Sicherheit | Welche Zugriffe sind erlaubt oder verboten? | Lernende dürfen nur eigene Abgaben sehen |
| Schnittstellenvertrag | In welchem Format soll die API beschrieben werden? | OpenAPI mit Beispielen und Fehlerfällen |
| Akzeptanzkriterien | Woran erkennst Du ein gutes Ergebnis? | Enthält Statuscodes, Fehlerfälle und Tests |
| Grenzen | Was darf die KI nicht tun? | Keine echten Zugangsdaten, keine produktiven Änderungen |
| Prüfung | Wie wird das Ergebnis validiert? | Contract-Tests, Code-Review, Security-Review |
Typische Fehler und wie Du sie vermeidest
| Fehler | Warum er gefährlich ist | Bessere Praxis |
|---|---|---|
| API-Schlüssel im Quellcode speichern | Schlüssel können veröffentlicht oder missbraucht werden. | Geheimnisse in sichere Umgebungsvariablen oder Secret-Manager auslagern |
| Nur Anmeldung prüfen, aber keine Objektberechtigung | Nutzende könnten fremde Daten abrufen. | Autorisierung bei jedem Objektzugriff prüfen |
| KI erfundene Endpunkte akzeptieren | Der Code funktioniert nicht oder nutzt falsche Annahmen. | API-Dokumentation und OpenAPI-Vertrag als Quelle nutzen |
| Fehlerdetails ungefiltert ausgeben | Interne Informationen können Angriffe erleichtern. | Nutzbare, aber sichere Fehlermeldungen gestalten |
| Keine Versionierung planen | Änderungen brechen bestehende Clients. | Versionen, Deprecation-Hinweise und Migrationen definieren |
| Agenten zu viele Rechte geben | Kleine Fehler können große Schäden verursachen. | Rechte begrenzen, Sandbox nutzen und Freigaben einbauen |
Verantwortung, Datenschutz und Kontrolle
Schnittstellen übertragen Daten. Deshalb gehört Datenschutz zur Schnittstellen-Kompetenz. Du solltest prüfen, ob personenbezogene Daten übertragen werden, welche Rechtsgrundlage gilt, wie lange Daten gespeichert werden, ob externe Dienste beteiligt sind und ob ein KI-System Daten zur Verarbeitung erhält. Gerade beim Agentic-Coding können Agenten viele Schritte automatisieren. Dadurch steigen die Anforderungen an Transparenz, Protokollierung und menschliche Kontrolle.
Eine verantwortungsvolle API-Strategie beantwortet nicht nur die Frage „Funktioniert es?“, sondern auch: „Ist es sicher?“, „Ist es fair?“, „Ist es nachvollziehbar?“, „Ist es wartbar?“ und „Darf dieses System diese Daten überhaupt verarbeiten?“
Praxis: Von der Idee zum überprüfbaren API-System
Ein professioneller Ablauf kann so aussehen: Zuerst beschreibst Du die fachliche Aufgabe, dann modellierst Du Ressourcen und Rollen, danach entwirfst Du den API-Vertrag, erzeugst Mock-Daten, schreibst Tests, implementierst die API, überprüfst Sicherheit und dokumentierst die Nutzung. Erst dann sollte ein System produktiv eingesetzt werden.
Für KI-gestützte Entwicklung bedeutet das: Du kannst KI in jedem Schritt einsetzen, aber Du gibst die Verantwortung nicht ab. Die KI kann Vorschläge erzeugen, Tests ergänzen, Fehler erklären oder Dokumentation formulieren. Du entscheidest, ob die Lösung fachlich, rechtlich und technisch tragfähig ist.
Interaktive Aufgaben
Quiz: Teste Dein Wissen
Was beschreibt eine API am treffendsten? (Eine vereinbarte Schnittstelle zwischen Software-Systemen) (!Ein einzelnes Computerprogramm ohne Außenkontakt) (!Ein ausschließlich grafisches Design einer Website) (!Ein Ersatz für jede Form von Dokumentation)
Welche Aufgabe hat ein API-Endpoint? (Er stellt eine konkrete Adresse für eine Ressource oder Funktion bereit) (!Er verschlüsselt automatisch jede Datenbank) (!Er ersetzt die Authentifizierung eines Systems) (!Er löscht grundsätzlich alle alten Versionen)
Wofür wird die HTTP-Methode GET typischerweise verwendet? (Zum Abrufen von Daten) (!Zum vollständigen Löschen eines Servers) (!Zum Ändern aller Passwörter) (!Zum Erzeugen eines geheimen Tokens ohne Prüfung)
Was ist JSON im API-Kontext? (Ein häufig genutztes Format für strukturierte Daten) (!Ein Betriebssystem für Cloud-Server) (!Eine Methode zur Gesichtserkennung) (!Ein Verschlüsselungsverfahren für Passwörter)
Was bedeutet Authentifizierung? (Die Prüfung der Identität einer Person oder Anwendung) (!Die Prüfung der Bildschirmauflösung) (!Das automatische Löschen alter Daten) (!Die Umwandlung von Bildern in Videos)
Was bedeutet Autorisierung? (Die Prüfung, welche Aktionen eine identifizierte Person ausführen darf) (!Die zufällige Vergabe von Fehlermeldungen) (!Die grafische Gestaltung einer Startseite) (!Die automatische Übersetzung von Programmcode)
Warum ist OpenAPI für API-Systeme hilfreich? (Weil es APIs maschinenlesbar und überprüfbar beschreibt) (!Weil es alle Sicherheitsprobleme automatisch beseitigt) (!Weil es keine Tests mehr erforderlich macht) (!Weil es ausschließlich für Computerspiele gedacht ist)
Was ist ein zentrales Risiko beim unkritischen Vibe-Coding? (Unverstandener oder ungetesteter Code kann übernommen werden) (!Der Quellcode wird immer langsamer geschrieben) (!APIs können danach nicht mehr dokumentiert werden) (!JSON wird durch Papierformulare ersetzt)
Was unterscheidet Agentic-Coding besonders von einfachen Codevorschlägen? (Ein Agent kann mehrschrittig planen, Werkzeuge nutzen und Ergebnisse prüfen) (!Ein Agent darf nie mit Dateien arbeiten) (!Agentic-Coding funktioniert nur ohne Ziele) (!Agentic-Coding verbietet automatisierte Tests)
Welche Maßnahme verbessert die Sicherheit von KI-Agenten beim Zugriff auf APIs? (Begrenzte Rechte, Tests, Protokolle und menschliche Freigaben) (!Uneingeschränkter Zugriff auf alle Produktivsysteme) (!Verzicht auf Dokumentation und Logs) (!Speicherung echter API-Schlüssel in öffentlichen Beispielen)
Memory
| Client | stellt Anfrage |
| Server | liefert Antwort |
| Endpoint | adressierbare Funktion |
| JSON | strukturiertes Datenformat |
| Token | digitaler Zugriffsnachweis |
| OpenAPI | maschinenlesbarer API-Vertrag |
| Rate Limit | Begrenzung von Anfragen |
| Agent | plant und nutzt Werkzeuge |
Drag and Drop
| Ordne die richtigen Begriffe zu. | Thema |
|---|---|
| GET | Daten lesen |
| POST | Neue Ressource anlegen |
| PUT | Ressource vollständig ersetzen |
| PATCH | Ressource teilweise ändern |
| DELETE | Ressource entfernen |
| 429 | Zu viele Anfragen |
Kreuzworträtsel
| Schnittstelle | Wie nennt man die vereinbarte Grenze zwischen zwei Systemen? |
| Endpunkt | Wie heißt eine konkrete API-Adresse für eine Funktion oder Ressource? |
| Ressource | Wie nennt man ein fachliches Objekt, das über eine API angesprochen wird? |
| Token | Wie heißt ein digitaler Nachweis für einen Zugriff? |
| Gateway | Wie heißt eine zentrale Eingangsschicht für viele APIs? |
| Idempotenz | Wie heißt die Eigenschaft, dass mehrfaches Ausführen dieselbe Wirkung wie einmaliges Ausführen hat? |
LearningApps
Lückentext
Offene Aufgaben
Leicht
- API-Beobachtung: Suche in Deinem Alltag drei digitale Dienste, die wahrscheinlich APIs nutzen, und beschreibe jeweils Client, Server und mögliche Daten.
- Begriffslandkarte: Erstelle eine Mindmap zu den Begriffen API, Endpoint, JSON, Statuscode, Authentifizierung und Autorisierung.
- Statuscode-Tagebuch: Recherchiere fünf HTTP-Statuscodes und formuliere zu jedem ein Beispiel aus einer Lernplattform oder App.
- Vibe-Coding-Reflexion: Beschreibe in einem kurzen Text, wann schnelles KI-gestütztes Prototyping hilfreich ist und wann es gefährlich werden kann.
Standard
- API-Steckbrief: Entwirf einen Steckbrief für eine Kurs-API mit Ressourcen, Endpunkten, Methoden, Rollen und typischen Fehlerfällen.
- JSON-Analyse: Schreibe eine beispielhafte JSON-Antwort für eine Projektabgabe und erkläre jedes Feld in eigenen Worten.
- KI-Auftrag verbessern: Verwandle einen ungenauen Auftrag wie „Baue mir eine App“ in einen präzisen Agentic-Coding-Auftrag mit Ziel, Kontext, Grenzen und Tests.
- Sicherheitscheck: Prüfe ein selbst erdachtes API-Szenario auf Risiken wie fehlende Objektberechtigung, zu viele Rechte oder unsichere Fehlermeldungen.
Schwer
- OpenAPI-Prototyp: Erstelle einen kleinen OpenAPI-Entwurf für eine Lernplattform-Ressource und ergänze mindestens drei Statuscodes.
- Agenten-Design: Plane einen KI-Agenten, der eine API nutzen darf, und definiere erlaubte Werkzeuge, verbotene Aktionen, Logs und Freigaben.
- API-Governance: Entwickle Regeln für Versionierung, Dokumentation, Tests und Deprecation einer API in einer Schule, Firma oder Hochschule.
- Ethik-und-Datenschutz: Analysiere ein Szenario, in dem ein KI-Agent personenbezogene Daten verarbeitet, und formuliere technische sowie organisatorische Schutzmaßnahmen.
| <inputbox>
type=create break=no preload=CHAT GPT TEXT HIER EINFÜGEN default= width=30 placeholder= Dein MOOC Titel buttonlabel=MOOC erstellen </inputbox> |
|
|
Lernkontrolle
- Transferaufgabe API-Design: Entwirf für eine Schulbibliothek eine API-Struktur mit Ressourcen, Rollen, Endpunkten und Fehlerfällen. Begründe, warum Deine Struktur wartbar und sicher ist.
- Fallanalyse Vibe-Coding: Eine Lernende hat mit KI eine funktionierende App erzeugt, versteht aber die API-Zugriffe nicht. Analysiere die Risiken und entwickle einen Plan, wie aus dem Prototyp ein geprüftes Projekt wird.
- Agentic-Coding-Bewertung: Vergleiche zwei Agenten-Aufträge: einen sehr offenen und einen stark strukturierten. Erkläre, welcher Auftrag zu zuverlässigeren Ergebnissen führt und warum.
- Sicherheitsentscheidung: Ein API-Token darf entweder Lese- und Schreibrechte für alle Kurse erhalten oder nur Leserechte für einen Kurs. Entscheide begründet, welche Variante verantwortungsvoller ist.
- Systemdenken: Erkläre an einem selbst gewählten Beispiel, wie Frontend, Backend, Datenbank, API-Gateway und KI-Agent zusammenwirken können.
- Qualitätsprüfung: Entwickle eine Checkliste, mit der Du eine von KI erzeugte API vor der Veröffentlichung prüfst. Berücksichtige Tests, Dokumentation, Sicherheit und Datenschutz.
Lernnachweis
Für einen Lernnachweis erstellst Du ein kleines Portfolio. Es enthält eine eigene API-Idee, ein Ressourcenmodell, mindestens vier Endpunkte, Beispielanfragen, Beispielantworten, Sicherheitsregeln, eine kurze OpenAPI-Skizze, eine Teststrategie und eine Reflexion zum Einsatz von Vibe-Coding oder Agentic-Coding. Entscheidend ist nicht, dass Dein System groß ist, sondern dass Du die Schnittstellenentscheidungen nachvollziehbar begründest.
OERs zum Thema
Links
aiMOOC-Projekte
Schulfach+
|
|
aiMOOCs
aiMOOC Projekte
|
|
THE MONKEY DANCE
{{#ev:youtube | https://youtu.be/rFhZlg38Zf8?si=9KdMNZYRkRD81YTo%7C 500 | center}}
|
{{#ev:youtube | https://youtu.be/Ob7etf9QuBo?si=t_NBA71bWg3Rq3LI%7C 500 | center}}
|
|
| <inputbox>
type=create break=no preload=MOOCit Vorlage default= width=30 placeholder= Dein MOOC Titel buttonlabel=MOOC erstellen </inputbox> |