Spring Security 7에서 MFA와 모듈형 설정이 도입되어 Java 앱의 보안 수준이 강화됐다.
Spring Security 7이 Spring I/O 2026에서 발표되며 가장 큰 변화인 다단계 인증(MFA)이 추가됐다. 이제 애플리케이션 수준이나 엔드포인트별로 MFA를 강제할 수 있다. 이 기능은 12년간 요청되어 온 것이며, 사용자가 완료한 인증 요소를 추적할 수 있는 새로운 클래스들이 도입되었다. 이로 인해 보호된 모든 엔드포인트는 비밀번호 로그인과 일회성 토큰이 모두 요구된다.
Spring Security 7 introduces MFA and modular configurations to enhance security for Java apps.
Spring Security 7 was announced at Spring I/O 2026, introducing Multi-Factor Authentication (MFA) as the biggest change. This feature allows enforcement of MFA at the application level or per-endpoint, tracking which authentication factors users have completed. New classes have been added to facilitate this functionality, requiring both password logins and one-time tokens for all protected endpoints.