Правилен ли будет такой подход, когда не только iOS/Android, но и веб-приложение использует одну и ту же API?
Почему бы и нет. Зачем городить кучу разных апишек для разных клиентов.
не принято использовать токены авторизации в хэдерах запроса
Вполне себе принято. Гуглите JWT. Правда токен авторизации действительно хранится на клиенте в куках или LocalStorage, но так, наверное, и в мобильном приложении он где-то хранится.
Если такой подход все же принят, то какие технологии для этого лучше (с точки зрения простоты) использовать в веб-части? Правильно ли я понимаю, что можно использовать фреймворки на базе JS, вроде bootstrap
bootstrap - это не js фреймворк, а html+css фрэймфорк. А так в целом да, можете использовать для интерфейса bootstrap, но не обязательно. Но если нужна хитрая логика на клиенте, то тут уже и js фреймворк нужен: React, Angular, Vue...