Добрый день!
Предположу, что вы подключили к вашему приложению Spring Security и у вас есть уже определенные роли. Например, user & admin.
Теперь, чтобы в шаблонизаторе (thymeleaf) проверить роль или привилегию юзера вам нужно подключить либу "thymeleaf extras spring security"
https://github.com/thymeleaf/thymeleaf-extras-spri...
Ну а дальше по ссылке выше есть документация, читаем ее.
Например,
<div sec:authorize="hasRole('ROLE_ADMIN')">
This will only be displayed if authenticated user has role ROLE_ADMIN.
</div>