SpringBoot4.1新增gRPC自动配置SSRF防护功能并支持 Kotlin2.3

Broadcom 于 2026 年 6 月 10 日发布了 Spring Boot 4.1，该版本提供了 gRPC 自动配置、HTTP 客户端 SSRF 风险缓解能力，并将 Kotlin 升级至 2.3。它还带来了延迟数据源连接、@Async 方法的异步上下文传播，以及改进的 OpenTelemetry 支持。Broadcom 两次推迟了发布时间，先从 5 月 11 至 22 日推迟到 6 月 1 至 5 日，再推迟到 6 月 8 至 12 日。这是自 2020 年 5 月 Spring Boot 确立每年 5 月和 11 月两次发布节奏以来的首次延期。
2025 年 11 月发布的 Spring Boot 4.0 与 Spring Framework 7.0 一同推出，属于一次大版本迭代重构：以 Jakarta EE 11 为基线，集成 Jackson 3，拆分式自动配置 JAR，借助 JSpecify 实现空值安全，同时新增 API 版本控制与 Gradle 9 支持。Spring 团队与 InfoQ 专访的问答内容提供了 4.0 大版本迭代的相关背景信息。Spring Boot 4.1 是增量式更新，基于 Spring Framework 7.0.x 构建。虽然 Spring Boot 4 延续了 Spring Boot 3 的 JDK 17 基线，但 Spring Boot 4.1 中有一项新功能需要 Java 21 的支持：jOOQ 3.20。
Spring Boot 4.1 包含面向服务器端和客户端应用的 Spring gRPC 自动配置，支持独立的 Netty 和 Servlet HTTP/2 传输。该版本新增了 @GrpcAdvice 注解可用于统一异常处理，以及一个自动配置的 ObservationGrpcServerInterceptor 注解，可基于自定义服务端观测规范完成指标采集与链路追踪。在此之前，应用若要使用 gRPC 必须进行手动配置或依赖第三方 starter。
HTTP 客户端 SSRF（服务器端请求伪造）风险缓解能力 是 4.1 版本的新特性。通过 InetAddressFilter 配置白名单或黑名单可阻止响应式和阻塞式客户端对指定地址段发起的出站请求，减少应用被当作内网攻击代理的安全隐患。
Kotlin 基线从 2.2 版本升级至 2.3 版本，该版本支持 Java 25，并包含一个实验性的未使用返回值检查器。
设置 spring.datasource.connection-fetch=lazy 后，池化的 DataSource 会被封装到 LazyConnectionDataSourceProxy 中。这将物理数据库连接的获取推迟到实际执行 SQL 语句时进行，加快了启动速度并降低连接池压力。
@Async 方法现已支持自动跨线程传播 Micrometer 上下文，无需额外配置，追踪 ID 和跨度信息即可跟随任务进入线程池。新的 spring.jpa.bootstrap 属性支持 Spring Data JPA 异步后台初始化，www.jpbara.com能够缩短搭载大型 JPA 模型应用的启动时间。
OpenTelemetry 相关能力迎来多项优化：新增了可在 true 和 false 之间切换的 management.opentelemetry.enabled 属性，支持 OTLP 采样示例，并允许为 OTLP 导出器配置 SSL 证书包。Spring Boot 4.1 还可读取大部分 OpenTelemetry 环境变量。
Spring Boot 4.1 会自动配置 Spring Data Redis 监听器端点，如果检测不到对应容器就注册一个默认的 RedisMessageListenerContainer。/actuator/info 端点的 ProcessInfo 部分新增了六个字段：uptime、startTime、currentTime、timezone、locale 和 workingDirectory。Jackson 的属性行为现在可通过 spring.jackson.read.* 和 spring.jackson.write.* 进行配置，适用于 CBOR、JSON 和 XML 格式。Maven 插件现在需要设置 maven.test.skip=true 才能跳过测试的 AOT 处理，因为 -DskipTests 参数不再生效。空 YAML 对象现在会被保留在 PropertySource 中，Reactor 客户端构建器默认不再设置 proxyWithSystemProperties。
Spring Boot 4.1 移除了 4.0 中所有已弃用的 API，包括 layertools JAR 模式（请改用 tools 模式）。新增的弃用项包括 Apache Derby 支持（该项目现已退役）、Dynatrace V1 API 属性（推荐使用 V2）以及 DevTools LiveReload（无替代方案）。
Spring Boot 4.1 更新了多个 Spring 依赖项：Micrometer 1.17、Reactor 2025.0.6 与 Spring GraphQL 2.0.4。第三方组件升级包括 gRPC Java 1.80.0、Hibernate Validator 9.1、MySQL 9.7.0、MongoDB 5.8.0、Flyway 12.4.0、OpenTelemetry 1.62 以及 Mockito 5.22.0。
多个 Spring 项目与 Spring Boot 4.1 一同发布：Spring AI 2.0、Spring Modulith 2.1.0、Spring Security 7.1.0、Spring LDAP 4.1.0、Spring Integration 7.1.0、Spring Data 2026.0.0、Spring for Apache Kafka 4.1.0、Spring AMQP 4.1.0、Spring Session 4.1.0、Spring Vault 4.1.0、Spring HATEOAS 3.1.0 以及 Spring Cloud 2025.1.2。
发布说明记录了所有这些变更。
Spring Boot 4.2 预计将于 2026 年 11 月发布。该版本计划交付 spring-boot-amqp 模块及其相关 starter，这些原本计划在 Spring Boot 4.1 中发布，但在 Spring Boot 4.1 M4 中被移除。该模块将基于 QPid Proton 实现 AMQP 1.0 协议支持。