Возможно, вы используете:
<http use-expressions="true">
, который настраивает WebExpressionVoter, который будет голосовать за пользователей, которым предоставлены полномочия "BlaBla" (в вашем случае)
Помните, что авторизация для защищенного объекта (например, URL) выполняется AccessDecisionManager.
Существует три конкретных AccessDecisionManager: утвердительные, согласованные и единодушные.
Для принятия решений они используют список AccessDecissionVoters.
RoleVoter, тот, который вы ожидали, с настраиваемым rolePrefix (по умолчанию ROLE_), AuthenticatdVoter и новый WebExpressionVoter.
Не забывайте, что комбинация AccessDecissionManager и его Избирателей может разрешить или отклонить разрешение так, как вы думаете, нелогичным.
И я рекомендую вам отладить запросы, чтобы убедиться, что URL и шаблон соответствуют ожидаемым.