Laravel По умолчанию защита установлена на web. Когда вы используете только конечные точки API, вам нужно изменить defaults.guards в config/auth.php на api, например. Вы можете видеть в app/Http/Kernel.php, что $middlewareGroups для api не включает промежуточное программное обеспечение сеанса, поэтому они не используются.
Если вы используете драйвер api по умолчанию token, вам необходимо добавить api_token в таблицу пользователей и включите этот параметр в запрос, например http://localhost/api/user?api_token={token}.
Взгляните на https://laravel.com/docs/6.x/api-authentication#introduction. Кажется, что это изменилось в Laravel 7, но я не знаю, какую версию вы используете.