我有一个rest API，根据用户是否被授权，发布不同的产品/api/products，这个api是针对一个移动的应用的，我通过一个带有Sanctum的承载令牌来进行授权，处理任何用户的请求，根据有没有令牌来显示商品。
我的API定制中间件

public function handle(Request $request, Closure $next): Response
    {
        if ( $request->bearerToken() && Auth::guard('sanctum')->user() )
            Auth::setUser( Auth::guard('sanctum')->user() );

        return $next($request);
    }

接下来，它不仅需要API，而且需要一个将使用这个api的网站，这是一个移动的应用程序。决定使用通常的php方法使用vue组件。它的Breeze & Blade与Fortify和Vue。据我所知，如果用户通过网站授权，授权的cookie会来到他身边，他们必须应用于 AJAX 请求。
我的axios请求从vue组件发送到/api/products。如果用户通过网站获得授权，则应用并发送cookie

const instance = axios.create({
    timeout: 2000,
   
    //My cookie included
    withCredentials: true,

    headers: {
      'Access-Control-Allow-Origin': '*',
      'Content-Type': 'application/json',
      'Access-Control-Allow-Credentials' : true
       },

    //With token works. Middleware understands that the user is authorized
    //headers: {'Authorization': 'Bearer '+'1|XedL48l1TU5KomRxix6xFrsm0v7jw5eTbHzfpoGC'}
  });

  instance
      .post("/api/products",
          {
            data: example_data,

          }, )
      .then(response => {
        console.log(response.data)
      });

问题是中间件不理解axios请求附带的cookie。中间件不能通过请求附带的cookie判断我是否被授权。它只理解报头中的令牌，它使用令牌工作。文档说Sanctum中间件理解请求附带的cookie。但我不使用中间件，是否可以实现它，这样授权用户的cookie就可以被我的定制中间件理解，而不仅仅是令牌？