我已经实现了基本的Spring Boot
Security东西，以保护我的Web服务。我知道您只能向某些用户角色授予对某些服务的访问权限，但是也可以向特定用户授予访问权限（用户可以是动态的）吗？

假设我们有一个社交应用，每个用户都有自己的个人资料。使用以下REST服务，他们应该是唯一可以编辑配置文件的人：

@RestController
public class UserController {
    @RequestMapping(method = RequestMethod.PUT, path = "/user/{userId}", ...)
    public UserDetails updateUserDetails(@PathVariable("userId") String userId) {
        // code for updating the description for the specified user
    }}
}

我怎样才能确保Spring安全，只有用户自己才能更新其个人资料？任何其他用户都应被拒绝。有没有一种优雅的方法，如何配置这种行为？

我试图在我的WebSecurityConfig中找到用于该方法的方法，但是没有成功。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                    // configure authorization for urls
                    .authorizeRequests()
                    // grant access to all users for root path and /home
                    //.antMatchers("/", "/home").permitAll()
                    // here i would like to grant access in the way, that only the user is allowed to perform this request by calling url with his userId
                    .antMatchers(HttpMethod.PUT,"/user/<userId>").and().httpBasic();
      }

什么是实施此行为的好方法？