se vc teve problemas com login/out como eu, deixarei aqui a solução que encontrei na documentação do thymeleaf! https://www.thymeleaf.org/doc/articles/springsecurity.html Na clase WebSecurityConfig mude a implementação do código pelo trecho abaixo, isso deve resolver o problema
http
.formLogin()
.loginPage("/login").defaultSuccessUrl("/home")
.failureUrl("/login")
.and().csrf().disable()
.logout()
.logoutSuccessUrl("/login");
}