Autenticação, Autorização e Gerenciamento de Sessão em Aplicativos da Web e APIs Tradicionais

Corrija-me se estiver errado: em um aplicativo da Web tradicional, o navegador anexa automaticamente as informações da sessão em uma solicitação ao servidor, para que o servidor possa saber de quem é a solicitação. O que exatamente é acrescentado, na verdade?

No entanto, em um aplicativo baseado em API, essas informações não são enviadas automaticamente, portanto, ao desenvolver uma API, devo verificar se a solicitação vem de um usuário autenticado, por exemplo? Como isso é feito normalmente?

questionAnswers(6)

yourAnswerToTheQuestion