@dostrog, паспорт круче, но он легко может быть оверхедом.
Есть два вида апи: для внутренних нужд и для всех.
Для внутренних - когда к нему только свои сайты и приложения цепляются. Здесь санктума за глаза достаточно.
Для всех - это, например, как ВК апи, facebook api, etc. Вот тут нужен паспорт.