Как да се борави с потребител на сесия и потребител с access_token едновременно?

Имаше същият въпрос преди 1 година, но предоставеното решение не е правилно и не работи.

Имам FOSUSerBUndle + FOSRestBundle + FOSOauthServerBundle и имам някои контролери на ресурси под /api пътя, които искат да защитят.

Имам обичайни потребители, които използват този API от интерфейса на Backbone.js и сега искам да използвам този API за мобилно приложение, така че имам нужда от логика access_token.

Работи много добре, когато използвам /api/resource?access_token=TOKEN url, но не работи, когато съм влязъл с обикновен уеб формуляр за влизане като потребител. Symfony извежда грешка 401.

Ето security.yml:

security:
    encoders:
        FOS\UserBundle\Model\UserInterface: sha512

    role_hierarchy:
        ROLE_ADMIN:      ROLE_USER
        ROLE_SUPER_ADMIN: [ROLE_USER, ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]

    providers:
        fos_userbundle:
            id: fos_user.user_provider.username_email

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        oauth_token:
            pattern:   ^/oauth/v2/token
            security:  false

        api:
            pattern:   ^/api
            fos_oauth: true
            stateless: true

        secured_area:
            pattern: ^/
            oauth:
                failure_path: /connect
                login_path: /login
                check_path: /connect
                provider: fos_userbundle
                resource_owners:
                   #github:           "/secure_area/login/check-github"
                    #twitter:          "/secure_area/login/check-twitter"
                    facebook:         /login/check-facebook
                    #google:           "/secure_area/login/check-google"
                oauth_user_provider:
                    service: hwi_oauth.user.provider.fosub_bridge

            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
                check_path: /login_check
                login_path: /login
                default_target_path: /home #default location to redirect after successful login

            anonymous:   true
            logout:
                path:          /logout
                target:        /login #where to go after logout

        main:
            pattern: ^/
            form_login:
                login_path: fos_user_security_login
                provider: fos_userbundle
                success_handler: authentication_handler
                failure_handler: authentication_handler
                csrf_provider: form.csrf_provider
            logout:      true
            anonymous:   true

    access_control:
        - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin/, role: ROLE_ADMIN }
        - { path ^/api, role: IS_AUTHENTICATED_FULLY }
        - { path ^/home, role: ROLE_USER }

Възможно ли е да го обработвате правилно както за уебсайт, така и за мобилно приложение? Моля, помогнете със съвет.