Для URL, как

@RequestMapping(value = "/users/{userId}/update/password", method = RequestMethod.PUT)

как быть уверенным, что подключенный пользователь может изменять только свой пароль, а не пароль другого пользователя ...

на самом деле, у меня есть защита по URL-адресу ... но этого недостаточно, чтобы предотвратить это дело

http.authorizeRequests().antMatchers("/rest/users/**").hasRole("USER");