segurança para url para um usuário

Para um URL como

@RequestMapping(value = "/users/{userId}/update/password", method = RequestMethod.PUT)

como garantir que o usuário conectado possa modificar apenas sua senha e não a de outro usuário ...

na verdade, eu tenho proteção em url ... mas não é suficiente para evitar esse caso

http.authorizeRequests().antMatchers("/rest/users/**").hasRole("USER");

questionAnswers(3)

yourAnswerToTheQuestion