Auth.js ist jetzt Teil von Better Auth

 (better-auth.com)
6 Punkte von GN⁺ 2025-09-28 | 5 Kommentare | Auf WhatsApp teilen
  • Auth.js (früher: NextAuth.js) wird jetzt vom Better-Auth-Team gepflegt und betreut
  • Auth.js ist die am weitesten verbreitete Open-Source-Authentifizierungsbibliothek im JavaScript-Ökosystem und wird auf vielen bekannten Websites eingesetzt
  • Zuvor war es schwierig, Authentifizierung und Session-Management direkt selbst zu implementieren, und es war umständlich, an jedem Einsatzort dieselben Grundbausteine immer wieder neu zu entwickeln
  • Da das Better-Auth-Team die Grenzen von Auth.js erkannt und eine gemeinsame Zukunftsvision geteilt hat, planen die beiden Projekte, durch ihren Zusammenschluss das Ökosystem weiterzuentwickeln
  • Bestehende Nutzer erhalten weiterhin Wartung, etwa Sicherheits-Patches, und für neue Projekte wird die Nutzung von Better Auth empfohlen

Einführung und Ankündigung

  • Auth.js (früher als NextAuth.js bekannt) wird jetzt offiziell vom Better-Auth-Team gepflegt und betreut
  • Auth.js ist eine der bekanntesten Open-Source-Authentifizierungsbibliotheken im JavaScript-Ökosystem und wird bereits von vielen Diensten eingesetzt (ChatGPT, Google Labs, Cal.com usw.)

Rolle und Grenzen des bisherigen Auth.js

  • Vor der Integration in Better Auth ermöglichte Auth.js es Entwicklern, Authentifizierungsfunktionen zu besitzen, ohne viel Zeit in OAuth-Integrationen oder Session-Management investieren zu müssen
  • Mit zunehmender Komplexität von Webanwendungen und vielfältigeren Authentifizierungsanforderungen traten jedoch Grenzen wie die wiederholte Entwicklung grundlegender Funktionen oder mangelnde Erweiterbarkeit deutlich hervor
  • Auch das bisherige Team war sich dessen bewusst, konnte aus verschiedenen Gründen jedoch keine grundlegenden Verbesserungen umsetzen

Hintergrund der Zusammenführung mit Better Auth

  • Das Ziel von Better Auth war es, die Kontrolle über Authentifizierung in unterschiedlichen Diensten zu stärken, und diese Vision war der des Auth.js-Teams sehr ähnlich
  • Im Zuge interner Diskussionen wurde klar, dass es die beste Lösung ist, die beiden Projekte zu vereinen
  • In dem Bewusstsein, wie wichtig Auth.js für zahllose Anwendungen, Unternehmen und Entwickler ist, wird eine kontinuierliche Versorgung mit Sicherheits-Patches sowie Reaktion auf dringende Probleme zugesichert

Empfehlungen und Strategie zur Weiterentwicklung des Ökosystems

  • Projekte, die Auth.js (NextAuth.js) bereits verwenden, können es weiterhin problemlos nutzen
  • Für neue Projekte wird Better Auth empfohlen, sofern nicht bestimmte Funktionen benötigt werden (insbesondere stateless Session-Management ohne Datenbank)
  • Diese Funktionen stehen ebenfalls auf der Roadmap von Better Auth. Statt doppelter Entwicklung soll das Ökosystem zu einer Einheit zusammengeführt und in eine produktivere Richtung weiterentwickelt werden

Migration und Dank an die Community

  • Teams, die eine Migration in Betracht ziehen, erhalten einen Leitfaden; weitere Dokumentation und Materialien sollen bald ergänzt werden
  • Der Community und den wichtigsten Mitwirkenden, die Auth.js bis heute weiterentwickelt haben (insbesondere Balázs, Thang Vu, Nico Domino, Lluis Agusti, Falco Winkler), wird tiefer Dank ausgesprochen
  • Es wird betont, dass Better Auth seinen Ausgangspunkt in Auth.js hatte und dass die Authentifizierungslandschaft durch die Zusammenführung der beiden Projekte weiter vorangebracht werden kann
  • Das grundlegende Ziel bleibt unverändert: „Die Kontrolle über Authentifizierung liegt bei den Entwicklern selbst“

Verwandte Beiträge

5 Kommentare

 
shakespeares 2025-10-05

Die Veränderungen rund um Next.js sind inzwischen so extrem, dass die Ermüdung ziemlich groß ist..
 
ahwjdekf 2025-09-28

Etwas so Instabiles zu verwenden ist wohl weniger sinnvoll, als einfach so etwas wie Clerk zu nutzen und sich erst dann ernsthaft mit dem Thema Authentifizierung zu beschäftigen, wenn die Zahl der Nutzer steigt.
 
ahwjdekf 2025-09-28

Ich habe vor Kurzem etwas mit auth.js gebaut, und in der Zwischenzeit hat sich schon wieder etwas geändert. Der Web-Bereich ist wirklich ziemlich unerquicklich und ermüdend. Außerdem habe ich sogar versucht, einen PR einzureichen, weil es Fehler in der Dokumentation und den Beispielen gab, aber das wurde einfach mit der Haltung geschlossen, es gäbe kein großes Problem. Das war ziemlich befremdlich. Es wirkte, als hätte das Team intern nicht besonders gut funktioniert.
 
GN⁺ 2025-09-28
Hacker-News-Kommentare

  • Better Auth hat 5 Millionen US-Dollar an Finanzierung eingesammelt; es ist schade zu sehen, wie ein vollständig kostenloses Projekt in ein kommerzielles Venture eingegliedert wird

    • Die Lage rund um Auth.js und NextAuth.js war nicht besonders gesund; die Entwicklung von NextAuth.js v5 begann im Mai 2023, befindet sich aber weiterhin im Beta-Status. Im August 2023 wurde es in Auth.js umbenannt, und im Oktober erschien v5.0.0-beta.0. Der Haupt-Contributor Balázs Orbán verließ das Team im Januar 2025. Am Ende steckt das Projekt also immer noch ohne stabile Version in der Beta fest.
      Siehe Historie, Diskussion, Umbenennungs-Commit, Beta-Release, Commit-Verlauf, Ankündigung auf X (Twitter)
    • Ich verstehe diese Sorge, aber ich würde Auth.js nicht unbedingt als „wirklich kostenlos“ bezeichnen. Es wurde von vielen Unternehmen unterstützt, so sehr, dass sogar Clerk Werbung auf der Doku-Seite schaltete. Better Auth begann zunächst als Open-Source-Projekt ohne kommerzielle Absicht, doch die kommerzielle Erweiterung ergab sich natürlich aus dem Wunsch, mehr Unternehmen in die Lage zu versetzen, ihr Authentifizierungssystem leichter selbst zu besitzen. Dass Better Auth Auth.js übernommen hat, liegt auch daran, dass das Team sich aus dem Projekt zurückziehen wollte und man verhindern wollte, dass es brachliegt. Mit Lucia gab es bereits ein Beispiel dafür, wie Open-Source-Authentifizierung Vertrauen verliert, und man wollte vermeiden, dass dieses Vertrauen durch tatsächliche Vernachlässigung erneut zerstört wird
    • Auth.js ist zwar vollständig kostenlos, aber faktisch aufgegeben
    • Ich arbeite bei FusionAuth und habe NextAuth gesponsert. Menschen müssen ihren Lebensunterhalt verdienen, und NextAuth war ebenfalls ein Projekt mit kommerzieller Unterstützung durch Sponsoren. Ich weiß ehrlich gesagt nicht genau, wie viel Geld über Sponsoring hereinkam, aber es lohnt sich, sich Meinungen dazu anzusehen, wie Clerk und Vercel Einfluss auf das Projekt genommen haben. Über die Schwierigkeiten von Open-Source-Geschäftsmodellen habe ich in meinem persönlichen Blog ausführlicher geschrieben
    • In diesem Fall scheint das aufgebrachte Kapital zumindest für die Entwicklung einer künftigen SaaS-Authentifizierungslösung auf Basis des Open-Source-Projekts gedacht zu sein

  • Ich habe gehört, dass Auth.js tatsächlich bei ChatGPT, Google Labs, Cal.com und anderen im Einsatz ist. Allerdings habe ich nicht gesehen, dass OpenAI sein Authentifizierungssystem von Auth0 weg migriert hätte, daher frage ich mich, ob da etwas passiert ist

    • Ich weiß nichts Konkretes, aber meiner Erfahrung nach war ein Umstieg auf Auth0 keine gute Erfahrung. Sobald man auch nur leicht vom Standard abweicht, wird die Unterstützung sehr schwach, und selbst wenn alles funktioniert, ist es nicht besonders gut. Wenn man Authentifizierung dennoch an ein Third-Party-SaaS auslagern muss, könnte Auth0 aber immer noch die bessere Wahl sein
    • Aus der offiziellen Ory-Case-Study lässt sich zumindest teilweise etwas über den konkreten Fall von OpenAI ableiten
    • Ich überlege gerade zwischen AWS Cognito und Auth0. Mich würden Erfahrungsberichte vieler Leute interessieren, welches von beiden sich in der Praxis besser anfühlt
    • OpenAI scheint SSO/SAML zu WorkOS migriert zu haben und für die normale Consumer-Authentifizierung eine geforkte Open-Source-Lösung zu verwenden
    • Ory behauptet ebenfalls, bei OpenAI im Einsatz zu sein; vermutlich hat OpenAI also eine Lösung aufgebaut, die Ory-Services und Better Auth kombiniert

  • Dieses Framework hat es so einfach gemacht, dass man sich um Authentifizierung praktisch gar nicht mehr kümmern muss. Die Einrichtung ist simpel, und die Nutzung ist über verschiedene Frameworks hinweg konsistent. Gut zu sehen, dass diese Vorteile wohl erhalten bleiben

  • Als jemand fragte, ob Better Auth „besser als auth.js“ sei, dachte ich spontan: „Na ja, besser als auth.js eben“ — und letztlich ist es genau so gekommen

  • Ich wünschte, es gäbe auch für Go eine so einfache Authentifizierungslösung

    • Ich baue gerade selbst eine Lösung, die Go, JS und Rust (mit serverseitigem WASM) unterstützt; Python soll später auch folgen. Sie wird nicht die Reife oder den Funktionsumfang von BetterAuth/OpenAuth haben, aber wenn ein Projekt Authentifizierung braucht, bin ich mit der Developer Experience (DX) sehr zufrieden.
      decent-auth auf GitHub
    • Stimme ich komplett zu. Es gibt zwar Auth-Lösungen für golang, etwa FusionAuth, aber vermutlich ist eher eine Bibliothek gefragt, die sich so einfach auf Framework-Ebene in die App einfügt wie devise in Rails oder das User-Modell in Django. Im entsprechenden reddit-Thread werden auch mehrere Alternativen genannt
    • authelia/authelia auf GitHub könnte ebenfalls einen Versuch wert sein
    • ory/kratos auf GitHub hat ebenfalls Potenzial

  • Ich habe beide Produkte verwendet und war persönlich zufrieden; es ist schön, dass die beiden Projekte nun zusammenarbeiten

    • Tatsächlich tut Better Auth nur so, als würde es Auth.js pflegen, um Leute zu Better Auth zu lenken

  • Ich nutze gerade Clerk und es wirkt okay. Über alles gibt es Gerüchte, aber ich will mich erst einmal auf die Entwicklung konzentrieren

    • Ich habe Clerk noch nicht ausprobiert, aber wenn Geld auszugeben die Entwicklung tatsächlich erleichtert, kann das für bestimmte Projekte gut passen. Nur als Referenz: Better Auth war selbst in meinem Bare-Bones-Repo in weniger als einer Stunde eingerichtet

  • Aus Entwicklersicht maximiert Better Auth die Einfachheit so sehr, dass es sich einfach wie die bessere Lösung anfühlt

  • Diese Nachricht fühlt sich enttäuschend an; faktisch scheint die Weiterentwicklung von Auth.js eingestellt zu werden. Ich mochte es, dass ich Auth.js mit seiner einfachen Funktionsimplementierung perfekt hinter meiner GraphQL-API einsetzen konnte. Better Auth dagegen hat je nach Plugin unterschiedliche Datentypen und wirkt dadurch zu allgemein, fast wie TypeScript-any. Außerdem wird die Verantwortung für Datenbankschema-Design und Migrationen an die Plugin-Entwickler delegiert. Für eine Authentifizierungsbibliothek ist mir das zu viel, und diese Struktur gefällt mir nicht. Man kann zwar eigene Adapter bauen, aber selbst dafür muss man einen zu allgemeinen SQL-ähnlichen Executor für beliebige Queries implementieren, wodurch die direkte Kontrolle über das Schema verloren geht. Migrationen werden zudem einfach als Code-Strings entgegengenommen und per eval ausgeführt, was Sicherheitskontrollen ebenfalls erschwert.
    Ich wollte Better Auth nicht voreingenommen beurteilen, obwohl schon länger der Eindruck bestand, dass eher die Tatsache Aufmerksamkeit bekommt, dass der Entwickler Autodidakt oder jung ist, als echte technische Innovation. Aber diese Bedenken scheinen offenbar nicht völlig unbegründet zu sein. Immerhin ist es wohl besser als der Zustand, in dem Auth.js einfach vernachlässigt wird, aber es zeigt auch, wie unbefriedigend der Stand von Open-Source-Authentifizierungsbibliotheken im JS-Ökosystem ist.
    Beispiel für eine Adapter-Implementierung, TechCrunch-Artikel über den Entwickler

      1. Auth.js wird erst dann vollständig eingestellt, wenn wir sicher sind, dass bestehende Nutzer problemlos zu Better Auth migrieren können, also ist das noch lange nicht so weit. Wahrscheinlich wird es gar nicht zu einer Situation kommen, in der alle zwangsweise migrieren müssen.
      2. Die zusätzlichen Funktionen über Plugins gibt es in NextAuth nicht. Schon die Core-Bibliothek allein bietet fast alle Funktionen von NextAuth, und die meisten Plugins stellen wir selbst bereit. Wer möchte, kann eigene Plugins schreiben, Plugins kopieren und anpassen oder nur die von uns bereitgestellten Plugins verwenden. Die DB-Verarbeitung übernehmen wir, sodass man das Authentifizierungssystem besitzen kann, ohne die Logik selbst schreiben zu müssen.
      3. Auth.js war bereits seit Langem inaktiv. Da ein abrupter Stopp dem Vertrauen in das Open-Source-Authentifizierungs-Ökosystem massiv schaden würde, haben wir es zu Better Auth geholt. Dabei hatten wir auch den Vertrauensverlust im Blick, den wir schon bei Lucia Auth erlebt haben

  • Drei Stunden nach der Better-Auth-Ankündigung wurde ein Hinweis zu Vercel aus einem GitHub-Commit entfernt

    • Ich frage mich, wann als Nächstes auch die Sponsorenliste gelöscht wird