Да, это разные версии, но только не FOS, а Симфони.
Сейчас соль генерируется и хранится вместе с хешем, с использованием функции password_hash()
Поэтому содержимое поля salt на данный момент игнорируется, а в будущем, думаю, будет удалено.
По confirmation_token рекомендую проверить после регистрации и до подтверждения.
Это поле должно быть заполнено только в этот период, в остальное время оно и должно быть пустым.