API dediğimiz şey iki farklı uygulamanın birbiri ile haberleşmesini sağlayan bir standarttır.

cookie ise web tarayıcı tarafında anahtar=>değer şeklinde tutulan bir veridir.
session ise sunucu tarafında anahtar=>değer şeklinde tutulur fakat session çalışması için cookie ihtiyaç duyar.
local storage ise cookie benzeri daha yeni ve gelişmiş bir sistemdir.

şimdi öncelikle bu kavramları iyice öğrenmen gerekli

api kısmında farklı yaklaşımlar mevcut bunun en popüleri xml ve json'dur
xml tarafında soap, json tarafında ise RESTAPI standartları kullanılır.
apiler sadece web tarayıcıları değil farklı protokoller üzerinden de aktif kullanılabilmesini sağlar. bu nedenle server client arasında kimlik doğrulaması için çeşitli yöntemlere ihtiyaç duyar. bu doğrulama yöntemleri için araştırabilirsiniz FAKAT cookie ve session apiler için bir doğrulama yöntemi değildir. web tarayıcılar için geliştirilmiştir.

gelelim senin sorununa öncelikle session ve cookie gibi yöntemleri aklından çıkarmalısın.
php tarafında tüm frameworkler restapi için uygun altyapıyı sunar.
yine php tarafında rest api için JWT token denilen yöntem uygulanır.

kısacası bakış açını değiştirmelisin ilk başta oldukça zor gelebilir kavramakta zorlanabilirsin hatta sana saçma gelebilir fakat şunu unutmamak gerekli programlamada her zaman belirli standartlar konulmuştur zira bu standartlar belirlenirken tek bir konu değil muhtemel tüm problemlere çözüm sunacak şekilde belirlenir.