Se lato laravel vuoi usare una api rest sarebbe opportuno che questa non avesse uno stato, quindi non ti consiglierei di usare le sessioni lato backend, fai in modo che non ce ne sia bisogno.

Per quanto riguarda l'autenticazione non ho ben capito il meccanismo, comunque ti consiglio di utilizzare una autenticazione di tipo Bearer o Jwt, che si sposa bene con una infrastruttura basata su api rest.

In questo scenario l'autenticazione funziona (semplificando) così:

- tu invii dal frontend alla api del tuo backend laravel una richiesta con credenziali di accesso (user e password solitamente).

- lui ti risponde con un json che contiene informazioni sull'utente loggato (se il login è valido) ed un token.

- lato frontend ti salvi la sessione, come preferisci farlo dipende da te, le opzioni sono più o meno due: cookie e localStorage.

- nelle successive richieste da parte del frontend userai il token come "password" di accesso.

- al momento del logout sul frontend cancelli la sessione e volendo puoi anche informare il backend di resettare il token della tua sessione.

In questo modo laravel sa che il frontend sta richiedendo delle informazioni come un determinato utente, e quindi puoi gestire comodamente i ruoli utente sul backend (con il pacchetto che ti ha indicato Alhazred), se l'utente loggato sul frontend richiede una risorsa per cui non ha i permessi l'api gli risponderà semplicemente con un errore.

Ho cercato di rendermi il più comprensibile possibile, spero di non averti incasinato di più le idee

p.s. scusate se sono andato un po' OT