Игорь Русинов

Как основной индикатор ошибки API я использую HTTP статусы. Laravel из коробки поддерживает много случаев:

• Если вы используете встроенную валидацию, то Laravel автоматически возвращает HTTP 422 и json массив с ошибками.
  
• Если для получения модели вы используете метод Model::findOrFail(), то Laravel автоматически выбрасывает ModelNotFoundException и автоматически генерирует для него HTTP 404 ответ.
  
• Laravel автоматически возвращает корректный HTTP 4xx ответ, если пользователь не авторизован.
  
• В остальных случаях можно возвращать ошибки вручную, с использованием хелперов, например: abort(403, 'You don\'t have access to do that');
  

Таким образом, вручную ошибки возвращать тоже придется, но в большинстве случаев Laravel сделает это за вас.

Ваши вопросы по порядку:
1. Хорошей практикой считается передача http-заголовка Authorization (все известные мне методы: Basic auth, JWT token, Oauth2 предполагают его использование).
2. Одно из преимуществ, которые я вижу, это возможность быстро проверить какие либо результаты прямо в браузере, т.к. при использовании авторизации через http-заголовок, нужно использовать какой-либо инструмент для тестирования API. Но я бы добавил это только как альтернативный вариант авторизации, например только на тестовом сервере/в локальной среде, и не использовал в продакшене.
3. Никаких граблей со вторым вариантом не встречал, т.к. это стандартный заголовок. Предполагаю, что можно наткнуться на грабли с третьим вариантом, например нестандартные заголовки будут резаться какими-нибудь проксями, кешами.

Если вы не передаете какие-нибудь секретные документы, то вам достаточно будет использовать надежную авторизацию (oauth2, jwt и т.д.) и настроить https соединение на сервере, таким образом ваши данные будут передаваться по сети в зашифрованном виде.