Bunun için genellikle Token Based Authentication denilen bir sistem kullanılır. Kabaca şu şekilde API'nin login URL'si olur, oraya istek gönderirsiniz, kullanıcı adı ve şifreyi post edersiniz işte, giriş doğruysa size bir tane Xl16Aa7v49T6jC3jk0QBPljz0470jyJs gibi bir token dönderir. Bu token'in ömrü vardır, kısa bir süre kullanılmaz ise devre dışı kalır, tekrar login olmanız gerekir. API'deki tüm linklere (endpoint diye geçer) bu tokeni de göndermeniz gerekiyor. Bu şekilde bir güvenlik önlemi almış olursunuz. Token konusunda farklı kullanımlar da var, bazıları kullanıcı tablosunda token tutuyor mesela, bazısı ayrı tablo kullanıyor, kiminde token'in ömrü var kiminde yok vs
Tabi söz konusu Laravel olduğu için şu kısmı inceleyin:
https://laravel.com/docs/5.3/passport