Аутентификация, авторизация и управление сеансами в традиционных веб-приложениях и API

Поправьте меня, если я ошибаюсь: в традиционном веб-приложении браузер автоматически добавляет информацию о сеансе в запрос к серверу, поэтому сервер может знать, от кого исходит запрос. Что именно добавляется на самом деле?

Однако в приложении, основанном на API, эта информация не отправляется автоматически, поэтому при разработке API я должен проверить себя, исходит ли запрос, например, от аутентифицированного пользователя? Как это обычно делается?