Spring Boot 4.1 新增 gRPC 自动配置、SSRF 防护功能并支持 Kotlin 2.3

Broadcom于2026年6月10日发布了Spring Boot 4.1”，该版本提供了gRPC自动配置、HTTP客户端SSRF风险缓解能力，将Kotlin升级至2.3。它还带来了延迟数据源连接、@Async方法的异构传播，以及改进的OpenTelemetry支持。Broadcom多次推迟了发布时间”，先于5月11日至22日日推迟到 6 月 1 至 5 日，再推迟到 6 月 8 至 12 日。自 2020 年 5 月 Spring Boot 大约每年 5 月和 11 月两次发布先后的推迟。2025 年 11 月发布的 Spring Boot 4.0 ”与 Spring Framework 7.0 共同推出，属于一次大版本迭代重构：以 Jakarta EE 11为核心，集成Jackson 3，拆分式自动配置JAR，借助JSpecify“实现空值安全，同时新增API版本控制与Gradle 9支持。Spring团队与InfoQ专访的问答内容”提供了4.0版本迭代的相关背景信息。Spring Boot 4.1是增量式更新，基于Spring Framework 7.0.x构建。虽然Spring Boot 4继承了Spring Boot 3的JDK 17，但还是很大的Spring Boot 4.1 包含一个需要 Java 21 的新功能的支持： jOOQ 3.20 "。 Spring Boot 4.1 包含面向服务器端和客户端应用的 Spring gRPC " 自动配置，支持独立的 Netty 和 Servlet HTTP/2 传输。该版本增加了 @GrpcAdvice 文件解可用于统一异常处理，以及一个自动配置的 ObservationGrpcServerInterceptor注解，可基于自定义服务端启动规范完成指标采集与订单追踪。在此之前，应用若要使用 gRPC 必须进行手动配置或第三方依赖启动器。HTTP 客户端 SSRF（服务器端请求格式）风险满足能力 "是 4.1 版本的新特性。通过 InetAddressFilter 配置白名单或黑名单可停止响应和阻塞式客户端对指定地址段发起的出站请求，简化应用被有效内网攻击代理的安全可靠性。Kotlin 从 2.2 开始版本升级至2.3版本”，该版本支持Java 25，并包含一个实验性的未使用返回值检查器。设置 spring.datasource.connection-fetch=lazy 后，池化的 DataSource 会被封装到 LazyConnectionDataSourceProxy 中”。这将物理数据库连接的获取延迟到实际执行 SQL 语句时进行，加快了启动速度并降低连接池压力。 @Async 方法内部支持跨线程传播 Micrometer 内部"，补充额外配置，追踪ID和跨度信息即可紧接着任务进入线程池。新的 spring.jpa.bootstrap 属性支持 Spring Data JPA 后台初始化，能够完成大型 JPA 模型应用的启动时间。 OpenTelemetry 相关能力报警优化 "：新增了可在 true 和 false 之间切换的 management.opentelemetry.enabled 属性，支持 OTLP 采样样本，并允许为 OTLP 导出器配置 SSL 证书包。Spring Boot 4.1 读取大部分 OpenTelemetry 环境变量 "。 Spring Boot 4.1 会自动配置 Spring Data Redis 监听器端点 "，如果检测不到对应容器就注册一个默认的 RedisMessageListenerContainer。/actuator/info 端点的 ProcessInfo 部分新增了六个字段 "：uptime、startTime、currentTime、timezone、locale 和workingDirectory。Jackson 的属性行为现在可以通过 spring.jackson.read.* 和spring.jackson.write.* 进行配置 "，适用于 CBOR、JSON 和 XML 格式。Maven 插件现在需要设置 maven.test.skip=true 才能跳过测试的 AOT 处理 "，因为 -DskipTests 参数不再生效。空 YAML 对象现在会被保留在 PropertySource 中，Reactor 客户端构建器默认不再设置 proxyWithSystemProperties。 Spring Boot 4.1 重新了 4.0 中所有已废弃的 API ”，包括layertools JAR模式（请改用工具模式）。新增的弃用项包括Apache Derby支持“（该项目至今已有）、Dynatrace V1 API属性”（推荐使用V2）以及DevTools LiveReload“（无替代方案）。Spring Boot 4.1更新了多个Spring依赖项：Micrometer 1.17、Reactor 2025.0.6和Spring GraphQL 2.0.4。第三方组件升级包括 gRPC Java 1.80.0、Hibernate Validator 9.1、MySQL 9.7.0、MongoDB 5.8.0、Flyway 12.4.0、OpenTelemetry 1.62 以及 Mockito 5.22.0。多个 Spring 项目与 Spring Boot 4.1 共同发布： Spring AI 2.0 "、 Spring Modulith 2.1.0 "、 Spring Security 7.1.0 "、 Spring LDAP 4.1.0 "、 Spring Integration 7.1.0 "、 Spring Data 2026.0.0 "、 Spring for Apache Kafka 4.1.0 "、 Spring AMQP 4.1.0 "、 Spring Session 4.1.0 "、 Spring Vault 4.1.0 "、 Spring HATEOAS 3.1.0 " 以及 Spring Cloud 2025.1.2 "。发布说明“记录了所有这些变更。Spring Boot 4.2预计将于2026年11月发布。该版本计划交付 spring-boot-amqp 模块相关及其启动器，这些具体计划在 Spring Boot 4.1 中发布，但在 Spring Boot 4.1 M4 中被移除。该模块将基于 QPid Proton 实现 AMQP 1.0 协议支持。查看英文原文： https://www.infoq.com/news/2026/06/spring-boot-4-1/“