403 quando pedido não pertence ao usuário (com perfil de cliente)

  @Test
    public void findByIdReturnsForbiddenWhenOrderDoesnotBelongToTheUser() throws Exception {

        ResultActions result =
                // passamos uma ID de outro pedido que sabemos que pertence a outro usuário
                // dará forbidden pois o clientToken nesse teste, pertence à Maria Brown
                mockMvc.perform(get("/orders/{id}", 2L)
                        .header("Authorization", "Bearer " + clientToken)
                        .accept(MediaType.APPLICATION_JSON));
        result.andExpect(status().isForbidden());
    }

AnteriorfindById retorna pedido existente quando logado como cliente e o pedido pertence ao usuário Próximo404 para pedido inexistente quando logado como admin

Atualizado há 7 meses