Если вы хотите, чтобы ваша конечная точка "/ getAllUsers" была общедоступной, то в вашем методе ResourceServerConfig.configure вы должны включить:
http.anonymous().disable()
.authorizeRequests()
.antMatchers("/users/**").authenticated()
.antMatchers("/getallusers").permitAll()
.and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());