seguridad para url para un usuario

Para una url como

@RequestMapping(value = "/users/{userId}/update/password", method = RequestMethod.PUT)

cómo asegurarse de que el usuario conectado pueda modificar solo su contraseña y no la de otro usuario ...

en realidad, tengo protección en url ... pero no es suficiente para prevenir este caso

http.authorizeRequests().antMatchers("/rest/users/**").hasRole("USER");

Respuestas a la pregunta(3)

Su respuesta a la pregunta