Посмотри в сторону
Laravel JWT Auth. Тривиальное решение для авторизации в случае REST API. Там есть хорошая докумментация.
Проверять каждый раз в контроллере, авторизирован ли пользователь, не стоит. Для этого есть Middleware.
Access токены нужны для идентификации юзера (реквеста) сервером. Это может быть и CSRF token, параметр сессии, Bearer токен и т.д.
