Solución:
De la documentación de Spring Security
anónimo()
Especifique que los usuarios anónimos permiten las URL.
Echemos un vistazo a algunos de sus códigos:
.and().authorizeRequests().antMatchers("/login").anonymous()
Le está diciendo al sistema que permita solo usuarios anónimos (ROLE_ANONYMOUS) para poder llamar al /login cartografía.
Cuando inicia sesión con su usuario, el usuario tiene otra función y ya no es anónimo. Para este ejemplo de código, debe usar permitAll().
Lo más probable es que también desee utilizar permitAll() en otros comparadores de solicitudes y en su caso también usaría solo un mapeo para /login-> formLogin().
Esto funcionó para mí hasAuthority("ROLE_USER")
Prueba con @RolesAllowed("USER") en lugar de @RolesAllowed("ROLE_USER"). Eventualmente podrías usar hasAuthority("ROLE_USER") o hasRole("USER") en lugar de hasRole("ROLE_USER") .