W wiosennej konfiguracji intercept-url bezpieczeństwa, jeśli zdefiniuję określoną rolę dla konkretnej ścieżki, powiedzmy ROLE_USER, ta ścieżka powinna być dostępna tylko wtedy, gdy użytkownik ma to uprawnienie. To ma sens, ale jeśli ustawię rolę ROLE_ANONYMOUS,<intercept-url pattern="/resources/**" access="ROLE_ANONYMOUS"/> czy nie powinno być dostępne nawet wtedy, gdy użytkownik jest uwierzytelniony, powiedzmy, gdy użytkownik ma uprawnienia ROLE_USER? Ale tak się nie dzieje.

Oto dziennik

Checking match of request : '/resources/js/test.js'; against '/resources/**'
Secure object: FilterInvocation: URL: /resources/js/test.js; Attributes: [ROLE_ANONYMOUS]
Previously Authenticated:   org.springframework.security.authentication.UsernamePasswordAuthenticationToken***********************************************
Voter: org.springframework.security.access.vote.RoleVoter@1712310, returned: -1

A potem dostaję wyjątek odmowy dostępu. Wiem, że działa dobrze, jeśli dodam<intercept-url pattern="/resources/**" access="ROLE_ANONYMOUS,ROLE_USER"/> w mojej konfiguracji Http. Ale w powyższym przypadku, czy ma tak być, czy też robię coś złego.