В моей конфигурации (HttpSecurity) у меня есть:
.antMatchers("/api/account/reset-password/finish").hasAnyAuthority(AuthoritiesConstants.BANK, AuthoritiesConstants.USER)
И в этой конкретной конечной точке:
public void finishPasswordReset(@RequestBody KeyAndPasswordVM keyAndPassword)
Я поставил выше:
@PreAuthorize("hasAnyAuthority(\""+AuthoritiesConstants.BANK+"\", \""+AuthoritiesConstants.USER+"\")")
Но когда я тестирую его с правами администратора и ролью «ROLE_ADMIN» (которая не авторизована) с помощью почтальона, это не 403, и запрос проходит нормально.
Информация: AuthoritiesConstants.USER = "ROLE_USER"; AuthoritiesConstants.BANK = "ROLE_BANK"; AuthoritiesConstants.ADMIN = "ROLE_ADMIN";