Spring Security 3.1 и возврат анонимных сведений о пользователе

Я пытаюсь понять, как заставить Spring Security вернуть объект UserDetails для анонимных пользователей для этого вызова:

SecurityContextHolder.getContext().getAuthentication().getPrincipal()

Я знаю, что без специальной настройки этот вызов вернет строку вместо объекта UserDetails, который вы создаете с помощью пользовательской реализации UserDetailsService, но я бы не хотел постоянно везде проверять «if (основной экземпляр строки)». Есть ли способ сделать это с конфигурацией Spring - способ, который будет хранить анонимный объект UserDetails в контексте сеанса пользователя до тех пор, пока он не войдет в систему? Якобы мне нужны уникальные анонимные сведения о пользователе для каждого гостя, чтобы я мог отслеживать их индивидуальное использование.

Я также заметил, что методы, которые я защитил с помощью аннотации «PreAuthorize», похоже, не соблюдают проверку hasRole с анонимными пользователями. Я уверен, что это симптом того, что я делаю неправильно. Вот пример этого:

@RequestMapping(value = "/almanac/new", method = RequestMethod.GET)
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String newSetup(ModelMap model) {

Вот мой контекст безопасности spring (полный, за исключением вложенного узла bean-компонентов). Вы можете заметить, что я пытался включить "анонимный"

<debug />
<http pattern="/js/**"  security="none" />
<http pattern="/css/**"  security="none" />
<http pattern="/images/**"  security="none" />
<http pattern="/loggedout.jsp" security="none"/>
<http name="httpSiteMap" use-expressions="true">
    <custom-filter ref="almanacUsrPwdAuthProcFilter" before="FORM_LOGIN_FILTER"/>
    <intercept-url pattern="/login*" access="isAnonymous()" />
    <intercept-url pattern="/home/**" access="hasRole('ROLE_USER')" />
    <intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
    <intercept-url pattern="/**" access="isAnonymous()" />
    <form-login  login-page="/login.jsp"
                 default-target-url="/home.htm"
                 always-use-default-target="false" />
    <logout logout-success-url="/loggedout.jsp" delete-cookies="JSESSIONID"/>
    <session-management invalid-session-url="/timeout.jsp">
        <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
    </session-management>
    <anonymous enabled="true" />
</http>

<global-method-security pre-post-annotations="enabled" secured-annotations="enabled" />

<authentication-manager alias="mainAuthMgr">
    <authentication-provider ref="almanacAuthenticationProvider"/>
</authentication-manager>

Приветствуются любые другие предложения, основанные на коде, который вы видите здесь.