Как в Symfony отключить создание session при вызове api методов?

У нас так и сделано. Но моей проблемы это никак не решает.

Алексей Анисимов: У вас стоит: stateless: true ?

Алексей Анисимов: И еще, файрвол API свой? Он не перекрывается файрволом админки?

stateless: true для api
firewall у админки свой, у api свой (у api даже несколько их, под разные роуты)

Алексей Анисимов: А как на счет перекрытия?
И еще, что за JWT-провайдер? Он не может использовать сессию сам, в наглую?
У меня Symfony 3, открыт веб (залогинен админом) и на виртуалке периодично дергается мобильным клиентом API. На веб это вообще никак не влияет.
Для JWT я использую LexikJWTAuthenticationBundle

у нас тоже LexikJWTAuthenticationBundle

суть в том, что у меня открыта админка в одной вкладке браузера и метод api в другой вкладке

/admin
/api/article/1

если после логина я обновлю вкладку с методом api, то логин слетает и в админке надо заново логинеться

удаляется сессия при открытии метода api

Алексей Анисимов: У меня RESTED стоит, расширение для тестирования. Проблем не было ни разу.
По делу. Вы решаете какую-то реальную проблему? Или в процессе отладки столкнулись с неудобством? Просто если это просто неудобство - используйте клиенты для тестирования API, защищенных JWT. Честно говоря, я так не тестировал свой API, возможно это и воспроизведется. Но.. зачем?

P.S. Открыл админку (у меня SonataAdminBundle), в соседней вкладке открыл API. Сначала получил токен админа и получил данные, все ок и так и там. Потом получил токен обычного пользователя, тоже получил API данные. Все так же ок, в админке как работал так и работаю.

Может у вас баг где-то в бандлах?
У меня Symfony 3 Standart Edition, пакеты вчера обновлял.

если использовать разные браузеры: один - для админки, другой - для api, то сессия не слетает у админки

У меня в Opera все работает (см коммент выше). Мне кажется, что проблема тут в другом.
По факту, если stateless же, то сессия просто не стартует же.

А если вы откроете метод без токена? то есть в админке залогинеться под админом, а потом просто открыть метод без токена (роль должна быть IS_AUTHENTICATED_ANONYMOUSLY)

админка тоже на сонате

Алексей Анисимов: М, вообще у меня везде ..FULLY стоит.

Сделал как вы предложили. Но! Мне пришлось добавить файрволл для доступа к данному API-эндпоинту, ну и в access_control я добавил правило с доступом к нему :

- { path: ^/api/v1/registry/reasons, roles: IS_AUTHENTICATED_ANONYMOUSLY }

Все отлично отработало, админ в соседней вкладке не отвалился, а данные я получил. Ну и пользователя в экшене нет, NULL.

а покажите, пожалуйста, как вы описали firewall для этого метода

Просто скопипастил из файрвола для рефреша токена и все:

anon_reasons:
            pattern:  ^/api/v1/registry
            stateless: true
            anonymous: true

все разобрался, спасибо :)
баг был не в этом. в проекте есть event listener, который делает session destroy :)