Corríjame si me equivoco: en una aplicación web tradicional, el navegador agrega automáticamente la información de la sesión en una solicitud al servidor, para que el servidor pueda saber de quién proviene la solicitud. ¿Qué se añade exactamente en realidad?

Sin embargo, en una aplicación basada en API, esta información no se envía automáticamente, por lo que al desarrollar una API, ¿debo verificar si la solicitud proviene de un usuario autenticado, por ejemplo? ¿Cómo se hace esto normalmente?