Лучший способ получить представление о том, что происходит, - запустить регистрацию DEBUG, а затем просмотреть журналы во время выполнения оскорбительного запроса.
Я предполагаю, что ваша конфигурация SpringSecurity применяет неправильные правила доступа к запросу. Если вы разместите URL-адрес запроса и конфигурацию управления доступом, мы сможем выяснить, что именно происходит. Но мое первоначальное подозрение было бы таким:
- у вас есть элементы
<intercept-url> в неправильном порядке, или
- вы используете
method атрибуты в некоторых ваших <intercept-url> элементах, и не разбираетесь в (нелогичных IMO) последствиях.