Springboot REST - предоставлять ту же службу, что и защищенная, и незащищенная

Создайте RequestMapping с двумя конечными точками, как показано ниже. Клиенты, которые хотят использовать базовую аутентификацию, будут обслуживаться с использованием /secure/** (невозможно получить доступ без аутентификации), а другие клиенты, которые собираются перейти на безопасную аутентификацию через несколько месяцев, будут обслуживаться с использованием /unsecure/** ( любой может получить доступ). Вы можете использовать RequestMapping на уровне класса, чтобы избежать изменений в каждой конечной точке на уровне метода.

@GetMapping(value= {"/secure/users","/unsecure/users"})
    public ResponseEntity<List<User>> findAllUsers()
    {   
        ...
    }

Теперь настройте безопасность, как показано ниже. для этого вам понадобятся клиентские роли, хранящиеся в БД.

@Override
    protected void configure(HttpSecurity http) throws Exception{

         http
         .csrf().disable()
         .authorizeRequests()
         .antMatchers("/unsecure/**").permitAll()
         .antMatchers("/secure/**").hasRole("CLIENT_SECURE") 
         .anyRequest().authenticated();

    }

Рабочий пример Git

Безопасная конечная точка: GET http://localhost:8088/secure/users Статус 403

Небезопасная конечная точка: GET: http://localhost:8088/unsecure/users Статус 200