идея состоит в том, что все пользователи должны иметь полномочия определять, к каким страницам / ссылкам должен обращаться пользователь
если у вас есть только пользователи, установите для визуализации для поля полномочий в представлении значение false, а затем скажите контроллеру всегда устанавливать роль как «ROLE_USER»