Spring Boot 4.1 正式發布,這次更新雖然不像 4.0 版本那樣進行大規模的底層重構,但針對現代微服務開發中常見的通訊、安全與啟動效能問題,提供了許多實務上的重要改進。對於開發者而言,最值得關注的是 gRPC 的官方自動配置以及針對伺服器端請求偽造的防禦機制。
原生 gRPC 自動配置的實作
在過去的版本中,若要在 Spring Boot 中使用 gRPC,開發者通常需要手動配置 Bean,或者依賴社群維護的第三方 Starter。gRPC 是一種高效能、強型別的遠端過程呼叫框架,常用於微服務之間的內部通訊,以取代傳統的 REST API 以降低延遲並減少流量。
Spring Boot 4.1 現在正式引入了 gRPC 的自動配置,支援 Netty 以及 Servlet HTTP/2 傳輸模式。其中最實用的改進是引入了 GrpcAdvice 註解,讓開發者能像在 REST 控制器中使用 @ControllerAdvice 一樣,將 gRPC 的異常處理集中化管理。此外,系統內建了 ObservationGrpcServerInterceptor,能自動將 gRPC 的請求指標與追蹤資訊整合進監控系統,大幅降低了維運可視化的開發成本。
強化伺服器端請求偽造 SSRF 的防禦
SSRF 即 Server-Side Request Forgery,是一種安全漏洞,攻擊者透過誘導伺服器發出請求,嘗試存取伺服器內部網路中原本不對外開放的資源(例如內部資料庫或管理介面)。
為了應對此風險,Spring Boot 4.1 在 HTTP 客戶端中加入了 InetAddressFilter。這是一個過濾機制,允許開發者透過白名單或黑名單的方式,限制反應式(Reactive)與阻塞式(Blocking)客戶端可以發送請求的 IP 地址範圍。這意味著即使應用程式存在邏輯漏洞,也能在網路層級阻止伺服器被用作攻擊內網的跳板。
啟動速度與資源利用的優化
針對大型企業級應用程式啟動緩慢的問題,4.1 版本提供了兩個關鍵優化方向。
首先是延遲資料源連接。透過設定 spring.datasource.connection-fetch=lazy,系統會使用 LazyConnectionDataSourceProxy 封裝連線池。這會將實際建立資料庫連線的動作,從啟動階段延後到真正執行第一條 SQL 語句時才發生。這不僅能加快應用程式的啟動速度,也能在啟動高峰期降低對資料庫連線池的壓力。
其次是 Spring Data JPA 的非同步啟動。透過新屬性 spring.jpa.bootstrap,系統可以在背景非同步地初始化 JPA 模型。對於擁有大量實體類別(Entity)的大型專案,這能顯著縮短主執行緒的阻塞時間,讓服務更快進入就緒狀態。
可觀測性與生態系更新
在監控方面,OpenTelemetry 的整合更加深入。OpenTelemetry 是一個開放標準的追蹤與指標框架,旨在解決分散式系統中追蹤請求路徑的困難。Spring Boot 4.1 現在支援 OTLP 範例(Exemplars)以及 SSL 憑證束,並能直接讀取大部分的 OpenTelemetry 環境變數,讓部署到雲端環境時的配置更加簡便。
此外,針對 @Async 非同步方法,現在能自動傳遞 Micrometer 的上下文(Context)。這解決了以往在多執行緒環境中,追蹤 ID(Trace ID)容易遺失的問題,讓開發者無需撰寫繁瑣的對接程式碼,就能在日誌中追蹤跨執行緒的請求流向。
版本相容性與技術棧要求
Spring Boot 4.1 延續了 JDK 17 的基準線,但若要使用 jOOQ 3.20,則必須將 Java 版本提升至 21。Kotlin 的基準線則更新至 2.3,以支援 Java 25 並提供實驗性的回傳值檢查功能。
在移除項目方面,4.0 版本中標記為廢棄(Deprecated)的 API 已正式移除,例如 layertools JAR 模式已被 tools 模式取代。同時,Apache Derby 的支援也因專案停止維護而正式移除。
來源:infoq.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。