VictorZZZZ

Тебе надо создать конфигурацию для твоего security.
Это Bean который наследуется от WebSecurityConfigurerAdapter

В нём переопределить метод configure. И там указывать какие эндпоинты должны проходить под авторизованным пользователем, а какие ты хочешь разрешить без авторизации.
Например как-то так:

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/stats/**").permitAll()
                .antMatchers(new String[]{
                        "/register",
                        "/admin/**"}).hasRole("ADMIN")
                .antMatchers("/**").authenticated().and()
                    .formLogin()
                        .loginPage("/login")
                        .loginProcessingUrl("/authenticateTheUser")
                        .failureUrl("/login?error=true")
                        .defaultSuccessUrl("/")
                .and()
                    .logout()
                    .logoutSuccessUrl("/login")
                  .permitAll();
}

Не нужно этого делать. Пропиши у себя в Environments
типа
application-dev.yaml:
login: ${LOGIN}
password: ${PASSWORD}

А потом в Edit configurations... -> Environment Variables
добавляй свои спрятанные переменные. Спринг подтянет при запуске.