Korrigieren Sie mich, wenn ich falsch liege: In einer herkömmlichen Webanwendung hängt der Browser automatisch Sitzungsinformationen an eine Anfrage an den Server an, damit der Server weiß, von wem die Anfrage stammt. Was genau ist eigentlich angehängt?

In einer API-basierten App werden diese Informationen jedoch nicht automatisch gesendet. Wenn ich also eine API entwickle, muss ich selbst prüfen, ob die Anforderung beispielsweise von einem authentifizierten Benutzer stammt. Wie wird das normalerweise gemacht?