Sanctum, авторизация на основе сессии, как сделать для двух разных доменов?

Question

[amigo567]

Фронт: local.cars.com:8080 (VUE spa)
Бек: https://api.cars.test (laravel api)

Возможно ли использовать встроенный в php механизм авторизации (на основании сессии)?
Уже много месяцев не могу разобраться с sanctum и авторизицией в целом, как бек и фронт должны взаимодействовать друг с другом (прошу не отправлять видео, статьи, оффициальную документацию - не помогают, нейронные сети тоже не могут нормально объяснить и выдать рабочий пример).

Ведь должно быть всё просто:
1) Отправляем на сервер (POST https://api.cars.test/login)
2) Бек смотрит, есть ли этот домен "local.cars.com:8080" в списке разрешённых
3) Если нет его в списке, то возвращает ошибку
4) Иначе ларавел проверяет полученную пару логин-пароль, при успехе - создаёт файл (сессиию) на жёстком диске (кладёт туда разные данные, логин, пароль, ещё может что-то), шифрует ключ (зачем?, ключ сессии = название файла?) и отправляет этот ключ обратно клиенту (с заголовком setcookie? эта информация нужна для браузера?)
5) Браузер устанавливает куку
6) При каждом последующем запросе бразуер автоматически отправляет эту куку серверу (не нужно самостоятельно принимать куку и сохранять её где-то наподобии localstorage?)
7) Сервер шифрует полученный ключ=куку, ищет шифрованную версию в папке sessions, если нашёл что-то, то продолжает обработку запроса?

А вот есть ещё токены, которые хранятся в таблице (в БД), их тоже можно отправить клиенту с заголовком setcookie? чтобы не возиться с локальным хранением этого ключа (он ведь ещё и не должен сбрасываться после рефреша страницы) и потом автоматически отправлялся при каждом последующем запросе (отправке запроса на сервер).

P.S. где найти реализацию метода Auth::guard('web')->login($user); здесь используется файл сессии?

Если для вышеперечисленных доменов я хочу использовать файл сессии, то какие middleware должны быть (все маршруты в api.php объявлены)?

spoiler

protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
           \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],

        'api' => [
            \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\Routing\Middleware\ThrottleRequests::class.':api',
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
        ],
    ];

Comments

[Дмитрий]

Вообще то ларавел не спроста выпилил куки из роутов апи. Потому что типа api должно быть RESTful, а следовательно какие к черту сессии?
Однако ж, в самих названиях миддлваре хорошо написано что они делают, и наверное если вы их прочтете, может это как то подскажет вам что надо? Не говоря о том что можно открыть код миддлваре и посмотреть что он делает. Это будет на порядок лучше чем мучать нейронку.