Boa resposta, man! Sobre a API, dá uma olhada no Sanctum do Laravel. Segue o link: Sanctum API
Exato, esqueça JWT e afins, o Sanctum resolve sua vida de maneira incrivelmente simples. Só não tinha citado, pois não é obrigatório usar, pode ser uma api pública também. Laravel + comunidade PHP = sucesso