spring

　　你问Spring Security最新版本是什么，Spring Security最新版本配置发生了哪些显著变化，建议先把口径统一成官方稳定版与里程碑版两条线来看。稳定版用于生产依赖与兼容性判断，里程碑版用于提前评估破坏性变更。下面按版本现状、配置变化、迁移落地三步把信息讲清楚。

　　一、Spring Security最新版本是什么

　　当前官方项目页展示的稳定版是7.0.2，这个版本通常就是大家说的最新版本口径。

　　1、稳定版最新是7.0.2

　　Spring项目页标题区直接标注Spring Security 7.0.2，一般以此作为最新稳定版依据。

　　2、官方发布公告确认7.0.2属于已发布的正式版本

　　官方在2025年12月的发布说明中提到7.0.1与7.0.2已发布，并说明是为修复问题的连续补丁发布。

　　3、里程碑版本已推进到7.1.0-M1但不等同于生产最新

　　2026年1月官方发布了Spring Security 7.1.0-M1里程碑版本公告，通常用于提前试用新特性与变更，不建议直接当作线上默认升级目标。

　　4、运行环境基线要求以Java 17或更高为前提

　　Spring Security参考文档的Prerequisites明确要求Java 17或更高运行环境，这会直接影响你在老项目里的升级路径。

　　5、如果你在跟随Spring Boot版本走，需要把Boot与Security代际对应好

　　迁移指南建议先确保处于Spring Boot 4.0的最新补丁，再升级到Spring Security 7的最新补丁版本，这说明在工程实践里往往要按Boot代际来组织升级节奏。

　　二、Spring Security最新版本配置发生了哪些显著变化

　　这里的显著变化，主要集中在配置写法强制收敛、旧API移除、以及周边依赖体系升级三类。你如果从5.x或早期6.x升级到7.x，这些变化会在编译期与启动期同时体现出来。

　　1、Lambda DSL从推荐变成必须

　　官方配置迁移文档明确说明，旧的非Lambda写法在Spring Security 7里将不再有效，配置需要统一切到Lambda DSL风格。

　　2、链式的and写法退出主流配置链路

　　迁移文档指出Lambda DSL下不需要再通过and来回到HttpSecurity继续配置，并且强调旧风格会导致理解偏差与误配风险，所以7.x要求统一风格。

　　3、自定义DSL从apply迁移到with

　　文档说明从6.2开始HttpSecurity.apply被弃用，并计划在7.0移除，推荐改为HttpSecurity.with来应用自定义DSL，这会影响所有自定义安全扩展点的配置方式。

　　4、鉴权API层面有移除与替换

　　在7.0的What’s New里提到AuthorizationManager.check被移除，改为使用AuthorizationManager.authorize，这会影响你自定义AuthorizationManager或对接鉴权决策的代码与配置。

　　5、Authorization Server纳入Spring Security模块体系

　　What’s New里说明Spring Authorization Server已成为Spring Security的一部分，意味着依赖组织与文档入口发生变化，原来单独引入与单独配置的项目需要对照新模块结构调整。

　　6、序列化相关配置要从Jackson 2迁移到Jackson 3写法

　　迁移到7.0的指南明确提到SecurityJackson2Modules相关ObjectMapper配置要替换为Jackson 3的JsonMapper.Builder与SecurityJacksonModules，并建议尽量用模块检测方式来减少手工配置差异。

　　三、升级到最新版本时配置应怎么调整更稳

　　如果你的目标是从现有项目平滑升级到7.0.2，建议用准备再升级的节奏，而不是直接改完一把推。下面这几步能显著降低回滚概率。

　　1、先确认你要升级到Spring Security 7还是停留在6.5补丁线

　　官方迁移页强调6.5是6.x最后一个版本，并建议用6.5的准备步骤把破坏性变更提前消化，再升级到7.0，这样更容易定位问题来源。

　　2、把所有HttpSecurity配置统一改成Lambda DSL

　　你可以先做机械化改造，把authorize配置、formLogin配置、rememberMe等全部改成Lambda写法，同时去掉and式回链，先让工程能编译能启动，再逐步调整行为差异。

　　3、全局搜索并替换自定义DSL的apply用法

　　只要你项目里有HttpSecurity.apply相关调用，就按文档建议迁移为with，否则在7.x会遇到编译或链式配置不可用的问题。

　　4、检查自定义鉴权决策是否依赖AuthorizationManager.check

　　如果你做过自定义AuthorizationManager或对接过鉴权组件，按7.0的移除说明切换到authorize相关接口，避免升级后出现方法不存在或行为不一致。

　　5、如果你对Security对象做过序列化与反序列化配置，提前完成Jackson 3迁移

　　按迁移指南把旧的SecurityJackson2Modules方式替换为SecurityJacksonModules，避免升级后在会话持久化、缓存或消息传递里出现反序列化失败。

　　6、涉及授权服务器的工程先重新核对依赖与文档入口

　　由于Authorization Server纳入Spring Security模块体系，升级后依赖边界与配置入口会变化，建议先按7.0文档的模块说明重新对齐再做功能回归。

　　总结

　　Spring Security最新版本是什么，按官方稳定版口径当前是7.0.2，里程碑版已推进到7.1.0-M1但不建议直接等同于生产最新。最新版本配置发生的显著变化主要体现在强制使用Lambda DSL、旧式and链与apply的退出、AuthorizationManager相关API替换、Authorization Server模块归并，以及Jackson 3迁移带来的配置调整。按6.5先准备再升级7.0.2的节奏推进，升级过程会更可控。