Немного непонятно.
permitAll -> Specify that URLs are allowed by anyone.
anonymous -> Specify that URLs are allowed by anonymous users.
Первый разрешает всем, второй анонимным пользователям. Так а в чем отличие?
tinoajato, например, чтобы не давать авторизованному пользователю использовать форму входа повторно. Но обычно ACL'ка проверки на анонима используется для вывода блоков разметки только для анонимных пользователей.
