Sanctum如果在生成token的时候同时生成session该如何配置？

你可以考虑加一个jwt，这个还不错，有黑名单。这个就可以做无态。 自己现在cms使用rcba+jwt，欢迎交流。

horizon的頁面我目前的做法是通過在url上加一個密鑰參數 進行對比

緩存ip 一個小時 一個小時內不用加密鑰參數

用 Sanctum 但是生成 token 不也是你自己调用 createToken 吗，你在这个地方操作不就好了？

甚至你可以不需要后端生成 cookie ，你前端登录之后新建一个 cookie 保存 token 就行，然后添加一个中间件：

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;

class CustomTokenMiddleware
{
    public function handle(Request $request, Closure $next)
    {
        // 优先级：Header > Query > Body > Cookie
        $token = $request->bearerToken() 
              ?? $request->query('token') 
              ?? $request->input('token') 
              ?? $request->cookie('token');

        if ($token) {
            // 将 Token 绑定到请求中供后续鉴权使用
            $request->headers->set('Authorization', 'Bearer ' . $token);
        }

        return $next($request);
    }
}