Uso o Spring Security 3 no meu aplicativo JSF

Tenho uma regra de segurança para fornecer tempos limite de sessão:

<session-management invalid-session-url="/faces/paginas/autenticacion/login.xhtml?error=1" />

Para que, quando a sessão expirar e o usuário clicar em qualquer link, ele será redirecionado para a página de login. Nesta página, verifico o parâmetro de erro e mostro uma mensagem ao usuário dizendo que a sessão expiro

Mas tenho 2 problemas:

(1) Quando inicio o aplicativo pela primeira vez (ele tenta mostrar a página inicial), sou redirecionado para a página de login informando que a sessão expirou. Acho que isso pode estar acontecendo porque, na primeira vez em que você executa o aplicativo, a sessão é nova e o Spring Security talvez "pense" que ele expirou (não faz distinção entre uma nova sessão e um tempo limite).

(2) Se a sessão expirou para usuários anônimos (ainda não autenticados), também sou redirecionado para o tempo limite da página de login. Não quero esse comportamento para usuários não autenticados, só quero verificar o tempo limite para usuários autenticados.

Como posso resolver esses dois problemas?

Agradeço antecipadamente