·
8 min
REST API testen: Methoden, Tools und Best Practices
Roman Kirchmeier - Autemos
REST-APIs sind das Nervensystem moderner Software – und damit ein lohnendes Ziel für Fehler und Angreifer. Salt Security berichtet, dass 95 Prozent der befragten Unternehmen Sicherheitsprobleme in produktiven APIs hatten (Salt Security, 2024). Wer eine REST API testen will, prüft nicht die Oberfläche, sondern das Protokoll: Request senden, Response gegen klare Erwartungen abgleichen. Dieser Leitfaden zeigt Ihnen die Methoden, die richtigen Assertions und einen Schritt-für-Schritt-Workflow bis ins CI/CD – inklusive der Statuscodes und HTTP-Methoden, die Sie als QA-Leiter oder Testarchitekt kennen müssen.
Kurz gefasst: REST API testen heisst, jeden Endpunkt auf Protokoll-Ebene zu prüfen – Statuscode, Body, JSON-Schema, Header und Antwortzeit. Strukturierte Negativtests und automatisierte CI/CD-Suiten fangen die Fehler ab, die manuelle Klicktests übersehen. Angesichts von 95 Prozent betroffener Unternehmen (Salt Security, 2024) gehört Security in jede API-Testsuite.
Abbildung 1: Die sechs Dimensionen, die ein vollständiger REST-API-Test prüft.
Was ist REST-API-Testing?
Abbildung 2: HTTP-Methoden im Test – Zweck, Idempotenz und Erfolgs-Statuscode.
Eine Endpunkt-Prüfung kontrolliert systematisch, ob ein RESTful-HTTP-Endpunkt sich korrekt verhält – auf Protokoll-Ebene, nicht über die UI. Der Bedarf wächst rasant: 82 Prozent der Unternehmen arbeiten 2025 API-first, nach 74 Prozent im Vorjahr (Postman State of the API, 2025). Sie senden einen Request und prüfen die Response gegen eine klare Erwartung.
Die Grundlage bildet die HTTP-Semantik. Welche Methode Sie wählen, bestimmt, was der Endpunkt tut – und welche Garantien gelten. Idempotenz ist dabei zentral: Eine idempotente Methode führt bei mehrfacher Ausführung zum selben Endzustand. Die folgende Tabelle fasst die fünf relevanten Methoden zusammen, definiert in der HTTP-Spezifikation (RFC 9110, 2022) und für PATCH ergänzt durch (RFC 5789, 2010).
Methode | Zweck | Idempotent | Erfolg | Assertions |
|---|---|---|---|---|
GET | lesen | Ja | 200 | Status, Body-Schema, Werte, Zeit |
POST | erstellen | Nein | 201 (+Location) | Status, neue ID, Location-Header |
PUT | ersetzen | Ja | 200/204 | Status, Endzustand bei Wiederholung gleich |
PATCH | teilweise ändern | Nein* | 200 | geändertes Feld geprüft, Rest unverändert |
DELETE | löschen | Ja | 204 | Status 204, danach GET → 404 |
Statuscodes und Authentifizierung
Statuscodes signalisieren das Ergebnis. Sie gruppieren sich in fünf Familien: 1xx (Info), 2xx (Erfolg), 3xx (Umleitung), 4xx (Client-Fehler) und 5xx (Server-Fehler). Für Tests gilt eine einfache Faustregel: 2xx bestätigt den Happy Path, 4xx ist das erwartete Ergebnis Ihrer Negativtests, und 5xx sollte praktisch nie auftreten. Taucht ein 500er auf, haben Sie einen Bug gefunden.
Bei der Authentifizierung begegnen Ihnen vier Verfahren: API-Key im Header, Bearer-Token beziehungsweise JWT, OAuth 2.0 (RFC 6749, 2012) sowie Basic Auth als Legacy-Variante. Jedes davon müssen Sie sowohl positiv (gültiges Token → Zugriff) als auch negativ (fehlendes Token → 401) testen.
Ein konkreter Negativtest macht das greifbar. Senden Sie denselben Request einmal ohne und einmal mit ungültigem Token und prüfen Sie die Reaktion:
Request: `GET /api/v1/users/42` ohne `Authorization`-Header
Erwartung: Status `401 Unauthorized`, Body mit Fehlercode, kein Datenleck
Variante: derselbe Aufruf mit abgelaufenem Token → ebenfalls `401`, nicht `200`
Liefert der Endpunkt hier ein `200` oder gar Nutzerdaten, haben Sie eine ernste Lücke gefunden – genau die Art Fehler, die ein reiner Happy-Path-Test nie aufdeckt.
Wie testet man eine REST API Schritt für Schritt?
Abbildung 3: Der Sieben-Schritte-Workflow zum Testen einer REST API.
Ein belastbarer REST-API-Test folgt einem festen Ablauf vom Testfall bis zur CI-Pipeline. In Kundenprojekten sehen wir, dass Teams ohne diese Struktur Negativtests und Schema-Prüfungen regelmässig auslassen – genau dort, wo später Produktionsfehler entstehen. Die folgenden sieben Schritte schliessen diese Lücke und sind mit Werkzeugen wie Postman, Newman oder REST Assured umsetzbar.
1. Testfälle definieren. Decken Sie Happy Path, Grenzwerte, Negativfälle und Auth ab. Richten Sie die Fälle an den Akzeptanzkriterien der Story aus.
2. Request aufsetzen. Methode, URL, Header, Token und Body festlegen. Nutzen Sie Variablen statt hartcodierter Werte.
3. Assertions setzen. Prüfen Sie Status, Body, Schema, Header und Antwortzeit gemeinsam – nicht nur den Statuscode.
4. Negativtests ausführen. Ungültige Eingaben, fehlende Pflichtfelder und falsche oder fehlende Tokens müssen sauber mit 4xx beantwortet werden.
5. Datengetrieben testen. CSV- oder JSON-Datensätze in Postman, `ParameterizedTest` beziehungsweise DataProvider in REST Assured.
6. Idempotenz prüfen. Rufen Sie PUT und DELETE mehrfach auf und verifizieren Sie den gleichbleibenden Endzustand.
7. In CI/CD automatisieren. Newman oder REST Assured mit Maven in GitHub Actions, GitLab CI oder Jenkins einbinden, als Quality Gate schalten und Reports archivieren.
Wie tief Sie automatisieren, hängt vom Risiko ab. Für stabile Suiten, die mit dem Produkt mitwachsen, lohnt sich der Blick auf die Disziplin der API-Testautomatisierung, die genau diese CI/CD-Integration vertieft.
Was sollte man bei einer REST API prüfen?
Abbildung 4: API-Sicherheit in Zahlen – warum Security in jede Testsuite gehört.
Über den Statuscode hinaus prüft ein guter API-Test fünf weitere Dimensionen – sonst bleiben gefährliche Lücken. Das Risiko ist konkret: 80 Prozent der API-Angriffe nutzen mindestens eine Methode aus den OWASP API Security Top 10 (Salt Security, 2024). Wer nur 200 prüft, übersieht Contract-Drift, Datenlecks und fehlende Autorisierung.
Diese Aspekte gehören in jede Assertion-Suite:
Statuscode. Stimmt der erwartete Code für den jeweiligen Fall?
Body und Typen. Sind Werte, Datentypen und Pflichtfelder korrekt?
JSON-Schema. Validieren Sie die Struktur gegen ein Schema (JSON Schema 2020-12). Das fängt Contract-Drift, bevor Konsumenten brechen.
Antwortzeit. Hält der Endpunkt sein SLA ein?
Fehlerbehandlung. Liefern 4xx und 5xx aussagekräftige, aber nicht zu auskunftsfreudige Bodies?
Security-Header und Autorisierung. Wird Zugriff korrekt erzwungen, und lecken Header keine sensiblen Daten?
Besondere Aufmerksamkeit verdient die Autorisierung. Die häufigste API-Schwachstelle ist laut OWASP Broken Object Level Authorization, kurz BOLA – also Nutzer A, der über manipulierte IDs an die Daten von Nutzer B kommt (OWASP API Security Top 10, 2023). Genau diese Fälle deckt ein UI-Test fast nie ab; ein API-Test mit fremden Objekt-IDs schon.
JSON-Schema-Validierung in der Praxis
Warum reicht eine Feld-für-Feld-Prüfung nicht? Weil sie zu grob ist. Ein JSON-Schema beschreibt die komplette Vertragsstruktur einer Response: welche Felder Pflicht sind, welchen Typ sie haben und welche Werte zulässig sind (JSON Schema 2020-12). Validieren Sie jede Response gegen dieses Schema, fällt Contract-Drift sofort auf – etwa wenn das Backend ein Feld umbenennt, einen Typ von Zahl auf String ändert oder ein Pflichtfeld entfernt. Genau solche stillen Änderungen brechen Konsumenten in Produktion, ohne dass ein Statuscode-Check je anschlägt.
Ein praktisches Beispiel für eine Nutzer-Response prüft mindestens diese Punkte:
`id` – erforderlich, Typ Integer, grösser als 0
`email` – erforderlich, Typ String, Format `email`
`created_at` – erforderlich, Typ String, Format `date-time`
`role` – erforderlich, Enum aus `admin`, `editor`, `viewer`
keine zusätzlichen, undokumentierten Felder (`additionalProperties: false`)
Schlägt eine dieser Regeln fehl, weicht die API von ihrem Vertrag ab – und Ihr Test stoppt das, bevor es ein Konsument tut.
Best Practices und häufige Fehler
Wirksame Schnittstellentests folgen wenigen, konsequent angewandten Prinzipien – und vermeiden ein paar typische Fallen. Gartner prognostiziert, dass bis 2025 mehr als die Hälfte des Datendiebstahls über unsichere APIs läuft. Vor diesem Hintergrund wiegt jeder ausgelassene Security-Test schwer. Die Praxis lässt sich auf zwei kurze Listen verdichten.
Das sollten Sie tun:
Testen Sie gegen eine produktionsnahe Umgebung mit realistischen Daten.
Halten Sie Konfiguration und Testdaten in der Versionskontrolle.
Decken Sie alle Endpunkte samt Edge Cases ab, nicht nur den Happy Path.
Prüfen Sie Idempotenz für PUT und DELETE explizit.
Priorisieren Sie Security-Assertions und binden Sie OWASP-Fälle ein.
Automatisieren Sie in CI und dokumentieren Sie Reports nachvollziehbar.
Das sollten Sie vermeiden:
Hartcodierte Test- und Auth-Daten, die nach kurzer Zeit brechen.
Fehlende Negativtests – der häufigste blinde Fleck.
Ignoriertes Schema, das Contract-Drift unbemerkt durchlässt.
Flaky Tests durch geteilten oder nicht zurückgesetzten State.
Ausgelassene Security-Prüfungen.
Rein manuelles Testen ohne reproduzierbare Suite.
Ein letzter Punkt aus der Praxis: Behandeln Sie API-Tests wie Regressionsschutz, nicht wie einmalige Abnahmen. Eine stabile Suite, die bei jedem Merge läuft, ersetzt keinen systematischen Regressionstest, ergänzt ihn aber dort, wo die UI gar nicht hinreicht.
FAQ
Wie teste ich eine REST API?
Sie senden definierte Requests an einen Endpunkt und prüfen die Response auf Statuscode, Body, JSON-Schema, Header und Antwortzeit. Ergänzen Sie Negativtests für ungültige Eingaben und fehlende Tokens, die ein 4xx zurückgeben sollten. Automatisieren Sie die Suite anschliessend in CI/CD, damit sie bei jedem Merge läuft.
Welche Tools eignen sich zum REST-API-Testen?
Verbreitet sind Postman mit dem CLI-Runner Newman für explorative und automatisierte Tests, REST Assured für Java-basierte Suiten sowie SoapUI für komplexe Szenarien. Für Performance kommt JMeter zum Einsatz, für schnelle Checks curl. Welches Werkzeug passt, hängt vom Stack und vom Automatisierungsgrad ab – nicht von der Popularität.
Was ist der Unterschied zwischen manuellem und automatisiertem API-Testen?
Manuelles Testen eignet sich für explorative Prüfungen und einmalige Abklärungen, etwa in Postman. Automatisiertes Testen führt dieselben Fälle reproduzierbar in CI/CD aus und fängt Regressionen bei jedem Commit ab. In der Praxis kombinieren Teams beides: manuell für Exploration, automatisiert als Quality Gate. Mehr dazu zeigt unser Überblick zu den verschiedenen Testarten.
Welche HTTP-Statuscodes sollte ich prüfen?
Prüfen Sie 2xx für erfolgreiche Aufrufe (200, 201, 204), 4xx als erwartetes Ergebnis Ihrer Negativtests (400, 401, 403, 404, 422) und überwachen Sie 5xx. Ein 500er oder 503er signalisiert in der Regel einen Server-Bug und sollte im normalen Testlauf nicht auftreten (RFC 9110, 2022).
Was prüft man ausser dem Statuscode?
Über den Statuscode hinaus prüfen Sie den Response-Body samt Werten und Datentypen, die Struktur per JSON-Schema, die Antwortzeit gegen das SLA, die Fehlerbehandlung sowie Security- und Response-Header. Diese Dimensionen fangen Contract-Drift, Performance-Probleme und Datenlecks ab, die ein reiner Statuscode-Check übersieht.
Fazit
REST API testen heisst, jeden Endpunkt auf Protokoll-Ebene ernst zu nehmen: die richtige HTTP-Methode mit ihren Idempotenz-Garantien, der passende Statuscode, ein validiertes JSON-Schema, geprüfte Header und Antwortzeiten. Strukturierte Negativtests und eine automatisierte CI/CD-Suite fangen die Fehler ab, die manuelle Klicktests übersehen – und angesichts von 95 Prozent betroffener Unternehmen (Salt Security, 2024) gehört Security fest in jede Suite. Den vollständigen Überblick liefert unser Leitfaden zum API-Testing. Wenn Sie Ihre API-Tests robust in die Pipeline bringen wollen, vereinbaren Sie eine Demo und wir zeigen Ihnen, wie Autemos Ihre Suite mitwachsen lässt.
