Если авторизоваться под пользователем, и пока он ходит по сайту заблокировать его, он продолжит ходить, как ни в чем не бывало, правда у него не будет полномочий (уже плюс), но насильно его не выкинет. Он даже сможет писать комментарии в публичных проектах. Пока я работаю в проекте один это мелочь, но по хорошему таких пользователей должно сразу же выкидывать из системы.

Единственное что в symfony 4.4 нет програмного метода security->logout(), так что придется ждать tndt-94

Так же не бессмысленным будет завести полномочие PERM_COMMENT_ADD дать его рядовым пользователям. Причем аналогично PERM_PROJECT_VIEW надо сделать так, чтобы публичные проекты были доступны обычным пользователям, а приватные давали это полномочие роли PROLE_VISITOR. (Сейчас PROJECT_VIEW работает только в приватных проектах, публичные пускают без каких-либо полномочий)