Как одновременно обрабатывать пользователя сеанса и пользователя с access_token?

Был тот же вопрос 1 год назад, но предоставленное решение неверно и не работает.

У меня есть FOSUSerBundle + FOSRestBundle + FOSOauthServerBundle, и у меня есть несколько контроллеров ресурсов по пути /api, которые нужно защитить.

У меня есть обычные пользователи, которые используют этот API из интерфейса Backbone.js, и теперь я хочу использовать этот API для мобильного приложения, поэтому мне нужна логика access_token.

Это работает очень хорошо, когда я использую URL-адрес /api/resource?access_token=TOKEN, но не работает, когда я вхожу в систему с обычной веб-формой входа в качестве пользователя. Symfony выдает ошибку 401.

Вот файл security.yml:

security:
    encoders:
        FOS\UserBundle\Model\UserInterface: sha512

    role_hierarchy:
        ROLE_ADMIN:      ROLE_USER
        ROLE_SUPER_ADMIN: [ROLE_USER, ROLE_ADMIN, ROLE_ALLOWED_TO_SWITCH]

    providers:
        fos_userbundle:
            id: fos_user.user_provider.username_email

    firewalls:
        dev:
            pattern: ^/(_(profiler|wdt)|css|images|js)/
            security: false

        oauth_token:
            pattern:   ^/oauth/v2/token
            security:  false

        api:
            pattern:   ^/api
            fos_oauth: true
            stateless: true

        secured_area:
            pattern: ^/
            oauth:
                failure_path: /connect
                login_path: /login
                check_path: /connect
                provider: fos_userbundle
                resource_owners:
                   #github:           "/secure_area/login/check-github"
                    #twitter:          "/secure_area/login/check-twitter"
                    facebook:         /login/check-facebook
                    #google:           "/secure_area/login/check-google"
                oauth_user_provider:
                    service: hwi_oauth.user.provider.fosub_bridge

            form_login:
                provider: fos_userbundle
                csrf_provider: form.csrf_provider
                check_path: /login_check
                login_path: /login
                default_target_path: /home #default location to redirect after successful login

            anonymous:   true
            logout:
                path:          /logout
                target:        /login #where to go after logout

        main:
            pattern: ^/
            form_login:
                login_path: fos_user_security_login
                provider: fos_userbundle
                success_handler: authentication_handler
                failure_handler: authentication_handler
                csrf_provider: form.csrf_provider
            logout:      true
            anonymous:   true

    access_control:
        - { path: ^/login$, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/register, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/resetting, role: IS_AUTHENTICATED_ANONYMOUSLY }
        - { path: ^/admin/, role: ROLE_ADMIN }
        - { path ^/api, role: IS_AUTHENTICATED_FULLY }
        - { path ^/home, role: ROLE_USER }

Можно ли правильно обрабатывать это как для веб-сайта, так и для мобильного приложения? Помогите пожалуйста советом.