Ответ 1
EnableWebSecurity предоставит конфигурацию через HttpSecurity, обеспечив конфигурацию, которую вы можете найти с тегом <http></http> в конфигурации xml, это позволит вам для настройки вашего доступа на основе шаблонов URL-адресов, конечных точек аутентификации, обработчиков и т.д.
EnableGlobalMethodSecurity обеспечивает безопасность AOP для методов, некоторые из аннотаций, которые он будет включать: PreAuthorize PostAuthorize также поддерживает JSR-250. Для вас есть еще несколько параметров
Для ваших нужд лучше соединить их. С помощью REST вы можете достичь всего, что вам нужно только с помощью @EnableWebSecurity, так как HttpSecurity#antMatchers(HttpMethod,String...) принимает элементы управления по методам Http