security to url für einen Benutzer

Für eine URL wie

@RequestMapping(value = "/users/{userId}/update/password", method = RequestMethod.PUT)

Um sicher zu sein, dass der verbundene Benutzer nur sein Kennwort und nicht das eines anderen Benutzers ändern kann ...

Eigentlich habe ich Schutz auf URL ... aber es ist nicht genug, um diesen Fall zu verhindern

http.authorizeRequests().antMatchers("/rest/users/**").hasRole("USER");

Antworten auf die Frage(6)

Ihre Antwort auf die Frage