Поправьте меня, если я не прав: в традиционном веб-приложении браузер автоматически добавляет информацию о сеансе в запрос к серверу, чтобы сервер мог знать, от кого поступил запрос. Что именно добавляется на самом деле?

Однако в приложении на основе API эта информация не отправляется автоматически, поэтому при разработке API я должен сам проверить, поступает ли запрос, например, от аутентифицированного пользователя? Как это обычно делается?