Ответ 1
Разница в том, что filters = "none" отключает Spring фильтры безопасности для указанных URL-адресов, тогда как access = "permitAll" настраивает авторизацию без отключения фильтров.
На практике filters = "none" может вызвать проблемы, когда ресурсы, стоящие за ним, требуют некоторой функциональности Spring Security. Например, вы не можете использовать его для страницы регистрации пользователя, которая выполняет программный вход в систему для отправки (Пользовательские полномочия всегда: ROLE_ANONYMOUS?).