laravel_sessionとXSRF-TOKENの動作

laravelのセッション周りで既存システムがどのようになっているか調査していますが
laravel_sessionとXSRF-TOKENの生成タイミングや、チェックタイミング、破棄タイミングがわかりません。
laravelは完全にapiとして利用しており、view側は別の言語で構成してます。
viewとの受け渡しは
①laravelでアクセスされるとlaravel_sessionやXSRF-TOKENを生成（？）
②レスポンスヘッダに組み込まれる
③ブラウザにクッキーがセットされる
④axiosでクッキーから値を取得し、APIコール時にリクエストヘッダに組みこまれる
という流れと理解しています。

api.phpを使用しており、Kernelは下記の設定をしています。
app/Http/Kernel.php

protected $middlewareGroups = [
        'api' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
            'throttle:60,1',
            'bindings',
        ],
    ];

またsession.phpは以下です。
config/session.php

'driver' => env('SESSION_DRIVER', 'file'),
'lifetime' => env('SESSION_LIFETIME', 120),
'expire_on_close' => false,
'encrypt' => false,
'files' => storage_path('framework/sessions'),
'connection' => env('SESSION_CONNECTION', null),
'table' => 'sessions',
'store' => env('SESSION_STORE', null),
'lottery' => [2, 100],
'cookie' => env(
        'SESSION_COOKIE',
        Str::slug(env('APP_NAME', 'laravel'), '_').'_session'
    ),
'path' => '/',
'secure' => env('SESSION_SECURE_COOKIE', true),
'http_only' => true,
'same_site' => 'None',

laravel_sessionについてはAPIが呼ばれたタイミングでframework/sessions/配下に作成されているのは確認できました。
laravel_sessionを認証したり破棄したりするのは、どこかで処理を記載しないと行われないのでしょうか？
それともlaravelが既存で必ずやっているものでしょうか？（その場合、どこで行われているのでしょうか？）

またXSRF-TOKENについても
「いつ生成されて」「いつどのようにチェックされて」「いつ破棄しているのか」がみつけられていません。

わからないことが多く、申し訳ありませんが、お力添え頂けますと幸いです。
よろしくお願いいたします。