<style>
pre > code {
    background-color: #3A3960 !important;
    padding: 10px;
    display: block;
    border-radius: 5px;
    border: 1px solid #ccc;
    overflow-x: auto;
}
</style>

# Grundlagen von HTTP

HTTP (Hypertext Transfer Protocol) ist das Kommunikationsprotokoll, das die Grundlage des World Wide Web bildet.
Das World Wide Web stellt ein Netzwerk oder eine Sammlung von Servern dar, auf denen Informationen abgelegt sind. HTTP definiert, wie Clients (z. B. Webbrowser) mit Servern kommunizieren, um Webseiten, Bilder, Daten und andere Ressourcen abzurufen oder zu senden.
<br>
<br>
RESTful APIs nutzen HTTP-Methoden, um CRUD-Operationen (Create, Read, Update, Delete) durchzuführen. Dabei werden oft Datenformate wie JSON (JavaScript Object Notation) verwendet, um Informationen zwischen Client und Server zu übertragen. Um zu verstehen, wie eine RESTful-API funktioniert, muss man HTTP gut kennen, da RESTful-APIs direkt auf den Mechanismen von HTTP aufbauen. Eine RESTful API (Representational State Transfer API) nutzt HTTP-Methoden zur Kommunikation zwischen Client und Server. Das bedeutet, dass jede Interaktion mit der API letztlich eine HTTP-Anfrage ist, die nach den HTTP-Regeln verarbeitet wird.
<br>
<br>
Wie wir bereits gesehen hatten, lässt sich die Kommunikation durch das Client-Server-Modell sehr gut beschreiben:

<img src="../img/Client-Server_Modell_03.png" alt="Client-Server_Modell_03" width="600">

Für die Kommunikation wird in diesem Fall das HTTP-Protokoll verwendet. Wir wollen uns jetzt im Detail, mit dem HTTP-Request und dem HTTP-Respone beschäftigen.

## HTTP-Methoden – Die Grundlage von HTTP-Requests

Für die Kommunikation sind sogenannte HTTP-Methoden sehr wichtig. Darunter kann man sich bestimmte Verben vorstellen, welche bestimmte Aktionen auf Ressourcen ausführen. Diese HTTP-Methoden definieren also, wie Clients Daten vom Server abrufen, senden, aktualisieren oder löschen können. Wir werden uns nun jede einzelne HTTP-Methode betrachten.

### GET – Daten vom Server abrufen

Die GET-Methode wird verwendet, um Daten von einem Server zu lesen, ohne Änderungen daran vorzunehmen. Wenn man zum Beispiel eine Website besucht, sendet der Web-Browser automatisch eine HTTP-Request mit der GET-Methode an den Server. Es werden also verschiedene Daten angefordert, um die Website auf dem Client korrekt darzustellen.
<br>
<br>
Man kann aber auch mit der GET-Methode gezielt bestimmte Daten von einem Server anfordern. Zum Beispiel könnte man Daten von Benutzern anfordern, welche in einer Datenbank hinterlegt sind. Anschließend würde der Client so eine Response bekommen:

```json
[
    {
        "id": 1,
        "name": "Alice",
        "email": "alice@example.com"
    },
    {
        "id": 2,
        "name": "Bob",
        "email": "bob@example.com"
    }
]
```

Die GET-Methode ist also eine richtige Wahl wenn man
- Daten abrufen möchte, ohne sie zu verändern 
- Eine Webseite oder API-Ressource anzeigen will 
- Informationen filtern oder durchsuchen möchte 

### POST – Neue Ressource auf dem Server erstellen

Die POST-Methode wird verwendet, um neue Daten an einen Server zu senden und dort eine neue Ressource zu erstellen. Dies kann z. B. das Anlegen eines neuen Benutzers in einer Datenbank oder das Hochladen einer Datei auf einen Server sein.
<br>
<br>
Ein typisches Beispiel für die Verwendung von POST ist das Absenden eines Formulars auf einer Webseite. Wenn ein Benutzer ein Registrierungsformular ausfüllt und auf „Absenden“ klickt, sendet der Browser eine POST-Anfrage mit den eingegebenen Daten an den Server.
<br>
<br>
Die POST-Methode ist also eine richtige Wahl wenn man:
- Neue Ressourcen auf einem Server erstellen möchte 
- Sensible Daten übertragen möchte 

### PUT – Eine Ressource vollständig aktualisieren

Die PUT-Methode wird verwendet, um eine bestehende Ressource auf einem Server vollständig zu aktualisieren. Das bedeutet, dass alle vorhandenen Daten der Ressource durch die neuen Daten ersetzt werden. Falls die Ressource noch nicht existiert, kann sie in manchen Implementierungen auch neu erstellt werden.
<br>
<br>
Ein gutes Beispiel für die Verwendung von PUT ist die Aktualisierung eines Benutzerprofils in einer Webanwendung. Hierbei werden die kompletten Benutzerdaten an den Server gesendet, um das alte Profil mit den neuen Informationen zu überschreiben.
<br>
<br>
Die PUT-Methode ist also eine richtige Wahl wenn man:
- Eine komplette Ressource aktualisiert werden muss 

### PATCH – Eine Ressource teilweise aktualisieren

Die PATCH-Methode wird verwendet, um eine bestehende Ressource teilweise zu aktualisieren, anstatt sie komplett zu ersetzen (wie es bei PUT der Fall ist). Das bedeutet, dass nur bestimmte Felder der Ressource geändert werden, während die restlichen Daten unverändert bleiben.
<br>
<br>
Ein gutes Beispiel für die Verwendung von PATCH ist die Aktualisierung einzelner Felder eines Benutzerprofils, z. B. das Ändern der E-Mail-Adresse, ohne den Namen oder andere Details zu überschreiben.
<br>
<br>
Die PATCH-Methode ist also eine richtige Wahl wenn man:
- Nur bestimmte Felder einer Ressource aktualisiert werden sollen
- Es ineffizient wäre, alle Daten mit PUT zu senden.
- Ein Benutzer Änderungen an bestimmten Datenfeldern vornehmen kann (z. B. E-Mail-Adresse ändern)

### DELETE – Eine Ressource entfernen

Die DELETE-Methode wird verwendet, um eine vorhandene Ressource auf dem Server zu löschen. Sobald eine DELETE-Anfrage erfolgreich verarbeitet wurde, sollte die Ressource nicht mehr existieren.
<br>
<br>
Ein typisches Beispiel für die Verwendung von DELETE ist das Löschen eines Benutzerkontos oder das Entfernen eines Eintrags aus einer Datenbank.
<br>
<br>Die DELETE-Methode ist also eine richtige Wahl wenn man:
- Eine Ressource endgültig entfernt werden soll
- Die API den sofortigen oder späteren Zugriff auf die Ressource nicht mehr benötigt
- Ein Benutzer oder ein Admin gezielt eine Ressource löschen möchte

## Der HTTP-Request

Betrachten wir einen einfachen HTTP-Request, bei der Verwendung der GET-Methode. Diese Methode wird verwendet um Daten abzurufen, ohne Änderungen an den Daten vorzunehmen. Normalerweise besteht ein HTTP-Request aus einem sogenannten HTTP-Header und HTTP-Body. Bei der Verwendung der GET-Methode ist jedoch ein HTTP-Body nicht vorhanden, dies macht den Einsteig in die Thematik leichter.
<br>
<br>
Angenommen wir senden einen HTTP-Request, dann sieht bei der Verwendung der GET-Methode, der HTTP-Header in etwa so aus: 

```
> GET /api/users/2 HTTP/2
> Host: reqres.in
> User-Agent: curl/8.7.1
> Accept: */*
```

In dem Request-Header findet man verschiedene Metadaten, es handelt sich einfach nur um zusätzliche Informationen zur Kommunikation.
<br>
<br>
Die erste Zeile `GET /api/users/2 HTTP/2` sagt aus, dass der HTTP-Request die GET-Methode verwendet. Außerdem sieht man die sogenannte Route `/api/users/2`, welche den Pfad zu den abgerfagten API-Ressource darstellt.
<br>
<br>
Die zweite Zeile `Host: reqres.in` zeigt an, welcher Server das Ziel für die HTTP-Request ist.
<br>
<br>
Die dritte Zeile `User-Agent: curl/8.7.1` gibt den User-Agent an, es handelt sich um Informationen zum Client. Er hilft dem Server zu erkennen, welches Gerät, Betriebssystem und welche Software die Anfrage stellt. In unserem Fall ist es cURL, ein Tool welches wir noch kennen lernen werden.
<br>
<br>
Die letzte Zeile `Accept: */*` gibt an, dass der Client jede Art von Response akzeptiert
<br>
<br>
Kurz gesagt: wird haben mit unserem HTTP-Request, Daten von einem Benutzer mit der id=2 angefordert. Der Server hat unsere HTTP-Request mit dem jeweiligen HTTP-Header empfangen und verarbeitet. Dann bekommen wir vom Server eine HTTP-Response zurück, hier haben wir sowohl einen HTTP-Header als auch einen HTTP-Body.

## Der HTTP-Response

Uns interessieren natürlich wieder die Informationen im HTTP-Header und HTTP-Body. Unser Header könnte in etwas so aussehen:

```
< HTTP/2 200 
< date: Sat, 18 Jan 2025 18:26:34 GMT
< content-type: application/json; charset=utf-8
< content-length: 338
< report-to: {"group":"heroku-nel","max_age":3600,"endpoints":[{"url":"https://nel.heroku.com/reports?ts=1736286113&sid=c4c9725f-1ab0-44d8-820f-430df2718e11&s=MpWiz08iUK%2BrOKrxjiMomGlag9AuQLat9btKDSdncdc%3D"}]}
< reporting-endpoints: heroku-nel=https://nel.heroku.com/reports?ts=1736286113&sid=c4c9725f-1ab0-44d8-820f-430df2718e11&s=MpWiz08iUK%2BrOKrxjiMomGlag9AuQLat9btKDSdncdc%3D
< nel: {"report_to":"heroku-nel","max_age":3600,"success_fraction":0.005,"failure_fraction":0.05,"response_headers":["Via"]}
< x-powered-by: Express
< access-control-allow-origin: *
< etag: W/"152-ApQgGHL6RKwaebFlrPCYPBO1xHg"
< via: 1.1 vegur
< cache-control: max-age=14400
< cf-cache-status: REVALIDATED
< accept-ranges: bytes
< server: cloudflare
< cf-ray: 9040a2534869e516-TXL
< server-timing: cfL4;desc="?proto=TCP&rtt=20062&min_rtt=15186&rtt_var=6622&sent=9&recv=10&lost=0&retrans=0&sent_bytes=2905&recv_bytes=568&delivery_rate=246210&cwnd=254&unsent_bytes=0&cid=15e58129aee2b8fc&ts=130&x=0"
```

- **"HTTP/2 200"**: Der Server antwortet mit 200 OK (erfolgreiche Anfrage). Die "200" ist ein sogenannter HTTP-Statuscode, dazu kommen wir noch.
  
- **"date: Sat, 18 Jan 2025 18:26:34 GMT"**: Datum und Uhrzeit der Antwort in GMT (Mitteleuropäische Standardzeit).
  
- **"content-type: application/json; charset=utf-8"**: Der Antwortinhalt ist im Fromat JSON (application/json) mit der UTF-8 Zeichenkodierung.
  
- **"content-length: 338"**: Die Länge der Antwort beträgt 338 Bytes.
  
- **"x-powered-by: Express"**: Zeigt, dass der Server auf Node.js mit dem Framework Express.js läuft.
  
- **"access-control-allow-origin: `*`"**: Erlaubt CORS (Cross-Origin Requests) für alle (* bedeutet keine Einschränkung). CORS ist eine Sicherheitsregel in Webbrowsern. Sie bestimmt, welche Webseiten Daten von anderen Webseiten oder APIs abrufen dürfen. Damit die Webseite trotzdem Daten abrufen darf, muss die API (also der Server) sagen: "Ja, ich erlaube Anfragen von anderen Webseiten!"
  
- **"etag: W/"152-ApQgGHL6RKwaebFlrPCYPBO1xHg""**: Eine eindeutige Kennung für die Antwort, die zur Caching-Optimierung genutzt wird.
  
- **"cache-control: max-age=14400"**: Die Antwort kann für 14400 Sekunden (4 Stunden) im Cache gespeichert werden.
  
- **"server: cloudflare"**: Die API wird von Cloudflare als Proxy geschützt. Dies bedeutet dass Cloudflare als Vermittler (Proxy) zwischen dem Client (z. B. einem Browser oder einer App) und dem tatsächlichen API-Server fungiert. Cloudflare schützt die API vor Angriffen, DDoS-Attacken und unerlaubten Zugriffen, indem es Anfragen filtert und optimiert.
  
- **"cf-cache-status: REVALIDATED"**: Die Antwort wurde durch das Cloudflare-Caching-System überprüft.
  
- **"cf-ray: 9040a2534869e516-TXL"**: Eine eindeutige ID für diese Anfrage bei Cloudflare.
  
- **"server-timing: cfL4;d......"**: Detaillierte Server-Timing-Informationen zur Verbindung.

Natürlich sollte man jetzt nicht alle Informationen auswendig können. Es ist jedoch wichtig zu wissen, wo man bestimmte Informationen zum HTTP-Response finden kann. Für die meißten ist jedoch der Inhalt des HTTP-Bodys am interessantesten, denn da sind die angeforderten Daten enthalten. Er könnte beispielweise so aussehen:

```json
{
    "data": {
        "id": 2,
        "email": "janet.weaver@reqres.in",
        "first_name": "Janet",
        "last_name": "Weaver",
        "avatar": "https://reqres.in/img/faces/2-image.jpg"
    },
    "support": {
        "url": "https://contentcaddy.io?utm_source=reqres&utm_medium=json&utm_campaign=referral",
        "text": "Tired of writing endless social media content? Let Content Caddy generate it for you."
    }
}
```

Wir sehen hier die typische JSON-Struktur, es ist eine Sammlung von Schlüssel-Wert-Paaren. In unserem Fall sind zwei Objekte "data" und "support" enthalten. In dem Objekt "data", sehen wir die typischen Schlüssel-Wert-Informationen zu dem abgerufenen Benutzer. In dem Objekt "support" sind ebenfalls Schlüssel-Wert-Paarte enthalten, jedoch mit Informationen über die API.

## HTTP-Statuscodes

HTTP-Statuscodes sind essenzielle Bestandteile des Hypertext Transfer Protocol (HTTP). Sie werden von Servern in API-Anfragen zurückgegeben, um den Status einer Anfrage zu kommunizieren. Diese Codes helfen Entwicklern und Clients, den Erfolg, Fehler oder spezifische Anweisungen der Anfrage zu verstehen.
<br>
<br>
HTTP-Statuscodes sind in fünf Hauptkategorien unterteilt, basierend auf der ersten Ziffer des Codes:

- 1xx: Informational (Information)

- 2xx: Success (Erfolgreiche Anfragen)

- 3xx: Redirection (Umleitungen)

- 4xx: Client Errors (Fehlerhafte Anfragen durch den Client)

- 5xx: Server Errors (Fehlverhalten des Servers)
  
Jede Kategorie enthält verschiedene Statuscodes mit spezifischen Bedeutungen.

### Code: 1xx

Diese Codes signalisieren, dass der Server die Anfrage erhalten hat und verarbeitet. Sie sind selten in alltäglichen API-Nutzungsszenarien zu sehen, deswegen besprechen wir diesen Statuscode nicht weiter.

### Code: 2xx

Diese Codes bedeuten, dass die Anfrage erfolgreich verarbeitet wurde. Am häufigsten sieht man den typischen 200er Statuscode.

- 200 OK: Die Standardantwort für eine erfolgreiche GET-, POST- oder PUT-Anfrage.

- 201 Created: Eine Ressource wurde erfolgreich erstellt (z. B. bei einer POST-Anfrage).

- 202 Accepted: Die Anfrage wurde akzeptiert, aber die Verarbeitung erfolgt asynchron.

- 204 No Content: Erfolgreiche Anfrage, aber ohne zurückgelieferte Daten (oft bei DELETE- oder PUT-Operationen).

### Code: 3xx

Diese Codes geben an, dass eine weitere Aktion erforderlich ist, um die Anfrage abzuschließen. Ebenfalls nicht so häufig beim Erlernen von APIs anzutreffen.

- 301 Moved Permanently: Die Ressource wurde dauerhaft verschoben.

- 302 Found: Temporäre Weiterleitung zu einer anderen URL.

### Code: 4xx

Diese Codes zeigen, dass die Anfrage fehlerhaft war oder nicht autorisiert ist. Sowas kommt relativ häufig bei der täglichen Arbeit mit APIs vor.

- 400 Bad Request: Die Anfrage enthält falsche oder fehlerhafte Syntax.

- 401 Unauthorized: Authentifizierung fehlt oder ist ungültig.

- 403 Forbidden: Zugriff verweigert, obwohl die Authentifizierung korrekt ist.

- 404 Not Found: Die angeforderte Ressource existiert nicht.

- 405 Method Not Allowed: Die HTTP-Methode ist für die Ressource nicht erlaubt.

- 408 Request Timeout: Der Server hat zu lange auf die Anfrage gewartet.

- 429 Too Many Requests: Die Rate der Anfragen wurde überschritten (Rate-Limiting).

### Code: 5xx

Diese Codes bedeuten, dass der Server einen Fehler gemacht hat und die Anfrage nicht verarbeiten konnte. Sowas sieht man ebenfalls häufig, dann kann man davon ausgehen dass die Anfrage richtig war, jedoch beim Server irgendwas nicht stimmt.

- 500 Internal Server Error: Ein generischer Fehler ohne spezifische Details.

- 501 Not Implemented: Die Methode wird vom Server nicht unterstützt.

- 502 Bad Gateway: Der Server hat eine ungültige Antwort von einem Upstream-Server erhalten.

- 503 Service Unavailable: Der Server ist überlastet oder in Wartung.

- 504 Gateway Timeout: Ein Timeout zwischen Servern ist aufgetreten.

Man sollte auch hier nicht alles auswendig kennen, jedoch wissen dass es gewisse Statuscodes gibt. Als empfehlung finde ich die Seite von MDN-Web-Docs sehr gut, falls man die Bedeutung eines Statuscodes nachlesen möchte: https://developer.mozilla.org/en-US/docs/Web/HTTP/Status