По умолчанию анонимный доступ к REST API запрещен. Для его включения установите свойство приложения cuba.rest.anonymousEnabled в true. Запрос считается анонимным, если в нем отсутствует заголовок Authentication. В этом случае SecurityContext будет содержать анонимную сессию.

Чтобы определить разрешения для анонимного доступа необходимо задать набор ролей для пользователя, имя которого хранится в свойстве приложения cuba.anonymousLogin.