最近,Spring 生态社区较为活跃,主要值得关注的是发布了Spring Boot、Spring Data 2025.0.0、Spring Security、Spring Authorization Server、Spring Session、Spring Integration、Spring Modulith和Spring Web Services的首个发布候选版本。此外,还发布了 Spring Data 2025.1.0 和Spring for Apache Kafka的第二个里程碑版本,以及Spring Vault的第一个里程碑版本。
Spring Boot
Spring Boot 3.5.0 的第一个候选版本提供了缺陷修复、文档改进、依赖关系升级和新特性,例如,新注解@ServletRegistration和@FilterRegistration,分别作为使用ServletRegistrationBean和FilterRegistrationBean类注册 servlet 和 filter Bean 的基于注解的替代方案,以及支持 Docker 凭据存储和工具的新类。有关该版本的更多详细信息,请参阅发布说明。
Spring Boot 3.4.5 和 3.3.11(发布说明分别参见此处和此处)提供了缺陷修复、文档改进和依赖关系升级。更重要的是,Spring Boot 团队透露,这两个版本以及 3.2.14、3.1.16 和 2.7.25 版本解决了CVE-2025-22235漏洞,该漏洞是指在某些条件下,如果 actuator 端点未暴露,EndpointRequest类中定义的重载to()方法会创建一个不正确的null/**匹配器。有关这些版本的更多详细信息,请参见3.4.5版本和3.3.11版本的发布说明。
Spring Data
Spring Data 2025.0.0 的第一个候选版本提供的特性包括,改进了 Hibernate 查询语言 (Hibernate Query Language,HQL)、Elastic 查询语言 (Elastic Query Language,EQL)和 Jakarta Persistence 查询语言 (Jakarta Persistence Query Language,JPQL),以解决各种查询问题;针对计划中的破坏性变更(如计划在 Spring Data 4.0 中取消对 JMX 的支持)发布了新的弃用警告。该版本与 Spring Boot 3.5.0-RC1 保持一致,Spring Data 团队计划在 2025 年 5 月发布 GA 版本。
Spring Data 2025.1.0 的第二个里程碑版本在众多子项目中支持了JSpecify,包括 Spring Data Commons、Spring Data JPA、Spring Data MongoDB、Spring Data LDAP、Spring Data Cassandra、Spring Data KeyValue 和 Spring Data Elasticsearch。此外,QueryEnhancer接口也进行了重要的重写,不再通过spring.data.jpa.query.native.parser属性进行配置,现在可以通过@EnableJpaRepositories注解进行配置。有关此版本的更多详细信息,请参阅发布说明。
Spring Security
Spring Security 6.5.0 的第一个发布候选版本提供了缺陷修复、依赖关系升级和新特性,例如,改进了 OAuth 2.0 Demonstrating Proof of Possession (DPoP) 规范的实现,其中包括一个新的AuthenticationEntryPoint接口,该接口可在 DPoP 认证失败时返回WWW-Authenticate头信息;改进了PathPatternRequestMatcher类,以便在路径模式中使用 servlet,而不是为 servlet 实现RequestMatcher接口。有关此版本的更多详细信息,请参阅版本说明和新功能指南。
Spring Security 6.4.5 和 6.3.9(发布说明分别参见此处和此处)提供了缺陷修复、文档改进和依赖关系升级。更重要的是,Spring Security 团队透露,这两个版本以及 6.2.11、6.1.15、6.0.17、5.8.19 和 5.7.17 版本都解决了CVE-2025-22234漏洞,这是CVE-2025-22228的后续问题,即在DaoAuthenticationProvider类中解决定时攻击问题所造成的无意破坏。有关这些版本的更多详情,请参阅6.4.5版本和6.3.9版本的发布说明。
Spring Authorization Server
Spring Authorization Server 1.5.0 的第一个候选版本提供了依赖关系升级和新特性,例如,为 OAuth 2.0 DPoP 和Pushed Authorization Requests (PAR) 规范添加了授权服务器元数据;在 Spring Security OAuth2ParameterNames类中定义了一个新的REQUEST_URI常量,以实现 PAR 中的流程。有关此版本的更多详情,请参阅发布说明。
Spring Session
Spring Session 3.5.0 的第一个发布候选版本包含缺陷修复、依赖关系升级和新功能,比如,新的CompositeHttpSessionIdResolver类,它是HttpSessionIdResolver接口的实现,可以遍历HttpSessionIdResolver委托实例的给定集合;JdbcIndexedSessionRepository类经过了优化,只有在基于 JDBC 的存储库进行会话更新时才会启动 JDBC 事务。有关此版本的更多详细信息,请参阅发布说明。
Spring Integration
Spring Integration 6.5.0 的第一个发布候选版本提供了缺陷修复、文档改进、依赖关系升级和新特性,例如,在TcpSendingMessageHandler类中停止使用被认为不必要的logger.error()方法;基于LockRegistry接口的新LockRequestHandlerAdvice 类可保持对底层服务的相互访问。有关此版本的更多详细信息,请参阅发布说明。
Spring Modulith
Spring Modulith 1.4.0 的第一个发布候选版本提供了缺陷修复、依赖关系升级和功能增强,例如,在使用DefaultEventPublicationRegistry类和 Spring Framework AbstractApplicationContext类中定义的publishEvent()方法时提高了性能;Scenario类实例的状态变化检测默认只接受非空集合。有关此版本的更多详细信息,请参阅发布说明。
Spring for Apache Kafka
Spring for Apache Kafka 4.0.0 的第二个里程碑版本提供了缺陷修复、文档改进、依赖关系升级和新功能,例如,客户端依赖关系升级到Apache Kafka 4.0.0;MessagingMessageListenerAdapter类进行了一项优化,现在从DelegatingInvocableHandler类中定义的invoke()方法中返回 null,从而避免了InvocationResult类不必要的实例返回。有关此版本的更多详细信息,请参阅发布说明。
Spring Web Services
Spring Web Services 4.1.0 的第一个候选版本包含缺陷修复、文档改进、依赖关系升级和新特性,例如,通过Wss4jSecurityInterceptor类,为Apache Web Services Security for Java (WSS4J) 配置任意选项的支持,以及创建MethodArgumentResolver和MethodReturnValueHandler接口自定义实现的功能。有关此版本的更多详细信息,请参阅发布说明。
Spring Vault
Spring Vault 3.2.0 的第一个里程碑版本提供了缺陷修复、文档改进、依赖关系升级和新特性,例如,支持 AWS EC2上的Instance Metadata Service Version 2 (IMDSv2),以及使用 Github 令牌验证机制的功能。有关此版本的更多详细信息,请参阅发布说明。
原文链接:
Spring News Roundup: RCs of Spring Boot, Data, Security, Auth, Session, Integration, Web Services
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论