Максим верно написал.
API на Yii - отдельное приложение, SPA на vue - отдельное.
Могут лежать как угодно, хоть на разных доменах, хоть на поддомене, хоть в субдиректории.
Я обычно vue-app кладу в 'domain.ru/', а Yii на поддомен 'api.domain.ru'
Запрос /api/login/ ожидает в ответ токен пользователя. Как из ответа выбрать токен - указывается в настроках auth. Т.е. сервер получает логин и пароль, проверяет. Если они верны - выбирает из базы токен этого пользователя и возвращает его.
После получения nuxt'ом токена он сохраняется в localStorage и, вроде, дублируется в кукис
Этот токен потом надо при каждом запросе добавлять в заголовок и проверять на сервере
/api/user/ запрашивается после токена и в ответ надо дать профиль пользователя
Если профиль получен, он сохраняется в store и для пользователя устанавливается переменная loggedIn на true
