В документации по безопасности Spring указано (2.3.2):
Если ваше приложение поддерживает как HTTP , так и HTTPS, и вам требуется, чтобы к можно было получить доступ только к определенным URL-адресам через HTTPS, то это напрямую поддерживается с помощью атрибута requires-channel в:
<http>
<intercept-url pattern="/secure/**" access="ROLE_USER" requires-channel="https"/>
<intercept-url pattern="/**" access="ROLE_USER" requires-channel="any"/>
...
</http>
Но я использую аннотации в своих контроллерах, а не элементы intercept-url.