Eu diria Cadastro de usuários; Autenticação de usuário (limite de tentativas de acesso, impossibilitar acessos simultâneos), e autenticação de rota; Refresh token; Recuperação de senha; Envio de confirmação de dados para outro meio externo (email, celular..); Logout.
Da pra ser criativo fazendo todas essas paradas. Algumas podem ir além do "básico" mas são ótimas para treinar a criação de um backend mais completo.