Вот часть из примера Spring безопасности:
<http use-expressions="true">
<intercept-url pattern="/" access="permitAll"/>
<intercept-url pattern="/static/**" filters="none" />
<intercept-url pattern="/**" access="isAuthenticated()" />
<form-login />
<logout />
</http>
В чем разница между доступом = "allowAll" и фильтрами = "none"?
Url: http://static.springsource.org/spring-security/site/petclinic-tutorial.html