だいぶ前の質問ですが気になったので。

個人的には両方書くことが多いです。要約すると、

• ビジネスロジックでのバリデーションは必須。
• 入力バリデーションの時点で弾くかどうかはAPIの要件に依る
• セキュリティの観点から見ると入力バリデーションを厳しくするメリットはある

という意見です。以下詳細。

● ビジネスロジック
ビジネスロジックでの担保は必須だと思います。
ドメインのエンティティやバリューオブジェクトは常にHTTP層からアクセスされるわけではありません。（Laravelを使ったプロジェクトでもコンソールコマンドから呼ばれるかもしれませんし）
この部分をUI層であるHTTP層に頼らず、ドメインの中で不正な操作が起きないようにするのはとても良い習慣です。

個人的には果物のVOをEnumのようなクラスにして使うことが多いですね。

参考: https://qiita.com/Hiraku/items/71e385b56dcaa37629fe

class FruitType extends Enum
{
	public const RINGO = "りんご";
	public const MIKAN = "みかん";
	public const BUDOU = "ぶどう";
	
	// abstractなEnumクラスでコンストラクタで定数にした値が入るとInvalidArgumentExceptionなどを投げるようにしてある
}

● HTTPリクエストのバリデーション（APIの仕様の観点から）
HTTPリクエストのバリデーションでエラーとして弾くべきかどうかは、究極的にはAPIに求められる仕様によると思います。
不正な果物の種類がHTTPリクエストのパラメータとして入ってきた時のAPIの挙動について考えます。

レスポンスをステータスコード422で返して、"果物の種類の値はりんご、みかん、ぶどうのいずれかで指定してください"というエラーメッセージを出す

というような要求があるならば、HTTP層でもフォームリクエストでバリデーションを行うべきでしょう。

不正な値については単に500エラーで落ちても良いというのであれば、ビジネスロジックでの担保だけで良いかもしれません。

● FormRequestを使う場合の小ネタ
ビジネスロジックでもFormRequestでもバリデーションを行う場合、なるべくコードはDRYにしたいので、先ほどのEnumに全ての値を取得する静的メソッドを設けたりします。

// Laravel>=5.6の場合、FormRequestでRuleクラスを使うとスッキリ書ける

use Illuminate\Validation\Rules\In;

class FruitFormRequest extends FormRequest
{
    public function rules()
    {
    	 $allFruitTypes = FruitType::allValues();
    	 // ['りんご', 'みかん', 'ぶどう']

         return [
             'fruit_type' => ['required', new In($allFruitTypes)],
         ];	
     }
}

●HTTPリクエストのバリデーション（セキュリティの観点から）
もう一点、詳細な入力バリデーションを後押しする要素としては、セキュリティがあります。

多層防御という考え方があります。
複数のモジュールでデータを検証すると冗長にはなりますが、その冗長性は安全性とのトレードオフです。検証の一部の処理が間違っていたり忘れられていたとしても、他の防衛ラインが機能することで防げる場合もあるからです。

入力データの検証はLaravelを使ったWebアプリケーションの最初の防壁として大事な役目を果たします。
この時点で"正しく動作し得ない"データを削るのは良い考えです。

複雑ではないAPIであっても、開発に複数人が関わるのであれば厳しめの入力バリデーションをお勧めします。