@Order(1)
@Configuration
@EnableWebSecurity
@Component
Я так понимаю, что у вас в файле конфигурации прописано несколько конфигов? Order(1) Order(2) и т.д.?
Поставьте точку остановки и проведите дебаг. Помню, у меня была задача, когда до второй конфигурации дело не доходило. У меня была задача сделать отдельные конфиги для админки и для фронта.
antMatchers("/allStudents").hasRole("ADMIN");
если тут вместо /allStudents указать просто /, то по идее при доступе к любому урлу будет запрошен ввод пароля
