В справочной системе Spring говорится:
Вы можете использовать несколько элементов для определения разных требования к доступу для разных наборов URL-адресов, но они будут оценивается в указанном порядке и будет использоваться первое совпадение. Так что вы должен поставить наиболее конкретные совпадения вверху. Вы также можете добавить метод, чтобы ограничить соответствие конкретному HTTP-методу (GET, POST, PUT и т.д.). Если запрос соответствует нескольким шаблонам, соответствие метода будет иметь приоритет, независимо от порядка.
Как настроить Spring Безопасность, чтобы доступ к определенным шаблонам URL был защищен по-разному в зависимости от метода HTTP, используемого для доступа к шаблону URL?