Estou com duas ROLES(ADMIN e USER) e um usuário para cada ROLE. Coloquei o endpoint POST /virtual-shop/products apenas para a ROLE ADMIN, porém quando faço a request via postman. o sistema permite que usuários que não tenham a ROLE também criem produtos.
Estou usando Basic e implementei o UserDatailsService
/**
* Authorization configure
*
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable().authorizeRequests()
.antMatchers(HttpMethod.POST, "/virtual-shop/products").hasRole("ADMIN")
.antMatchers(HttpMethod.DELETE, "/virtual-shop/products").hasRole("ADMIN")
.antMatchers("/virtual-shop/**").authenticated()
.antMatchers(HttpMethod.POST, "/virtual-shop/users").permitAll()
.antMatchers(HttpMethod.GET, "/virtual-shop/products").permitAll()
.antMatchers(HttpMethod.GET, "/virtual-shop/products/*").permitAll()
.anyRequest().authenticated()
.and().httpBasic();
}