Убрал принудительный присвоение response. В этом случае если указать 'anonymous' => true в конфигурации firewall'a, то при обращении к ресурсам для которых разрешен анонимный доступ не будет выкинута ошибка авторизации и вызов $app['security']->getToken() вернет экземпляр объекта AnonymousToken.
Убрал принудительный присвоение response. В этом случае если указать 'anonymous' => true в конфигурации firewall'a, то при обращении к ресурсам для которых разрешен анонимный доступ не будет выкинута ошибка авторизации и вызов $app['security']->getToken() вернет экземпляр объекта AnonymousToken.