После некоторого расследования выяснилось, что antMatcher работает должным образом и разрешает все URL-адреса, как и предполагалось, но причина запретного ответа, который я получил для API POST, заключалась в том, что Spring Security ожидал токен csrf для этих POST. запросы, потому что защита CSRF включена по умолчанию в весенней безопасности.
Таким образом, чтобы заставить его работать так, вы должны предоставить токен csrf в запросе POST, ИЛИ вы можете временно отключить защиту CSRF (но вы должны включить ее снова, прежде чем приступить к работе, поскольку это серьезная атака)
Пример кода для этого:
protected void configure(HttpSecurity http) throws Exception {
http
// disabling csrf here, you should enable it before using in production
.csrf().disable
.authorizeRequests()
// this matcher is working for all GET/POST/... , any URL matching the reg expression
.antMatchers("/**").permitAll()
}