Auth.js artık Better Auth’un bir parçası

 (better-auth.com)
6 puan yazan GN⁺ 2025-09-28 | 5 yorum | WhatsApp'ta paylaş
  • Auth.js (eski adıyla: NextAuth.js) artık Better Auth ekibi tarafından sürdürülüp yönetiliyor
  • Auth.js, JavaScript ekosisteminde en yaygın kullanılan açık kaynak kimlik doğrulama kütüphanelerinden biri ve birçok popüler web sitesinde kullanılıyor
  • Daha önce kimlik doğrulama ve oturum yönetimini doğrudan uygulamak zordu; ayrıca her projede aynı temel bileşenleri tekrar tekrar geliştirme yükü vardı
  • Better Auth ekibi, Auth.js’in sınırlarını fark edip gelecek vizyonunu paylaştığı için iki proje birleşerek ekosistemi daha da geliştirmeyi planlıyor
  • Mevcut kullanıcılar güvenlik yamaları dahil bakım almaya devam edecek; yeni projeler içinse Better Auth kullanılması öneriliyor

Giriş ve duyuru

  • Auth.js (önceden NextAuth.js olarak biliniyordu) artık resmi olarak Better Auth ekibi tarafından sürdürülüp yönetiliyor
  • Auth.js, JavaScript ekosistemindeki en bilinen açık kaynak kimlik doğrulama kütüphanelerinden biri ve halihazırda ChatGPT, Google Labs, Cal.com gibi birçok hizmette kullanılıyor

Auth.js’in önceki rolü ve sınırlamaları

  • Better Auth ile birleşmeden önce Auth.js, geliştiricilerin OAuth entegrasyonu veya oturum yönetimi için uzun zaman harcamadan kimlik doğrulama özelliklerine sahip olmasını sağlıyordu
  • Ancak web uygulamaları karmaşıklaştıkça ve kimlik doğrulama gereksinimleri çeşitlendikçe, tekrarlanan temel özellik geliştirmeleri ve yetersiz ölçeklenebilirlik gibi sınırlamalar daha belirgin hale geldi
  • Mevcut ekip de bunun farkındaydı, ancak çeşitli nedenlerle köklü iyileştirmeleri hayata geçiremedi

Better Auth ile birleşmenin arka planı

  • Better Auth’un hedefi, farklı hizmetlerde kimlik doğrulama sahipliğini güçlendirmekti ve Auth.js ekibiyle vizyonu da benzerdi
  • Yapılan iç görüşmeler sonucunda iki projenin tek bir yapı altında birleşmesinin en iyi seçenek olduğu anlaşıldı
  • Auth.js’in bugün çok sayıda uygulama, şirket ve geliştirici için kritik olduğunun farkında olan ekip, güvenlik yamaları ve acil sorunlara müdahale konusunda süreklilik sözü veriyor

Öneriler ve ekosistemi geliştirme stratejisi

  • Hâlihazırda Auth.js (NextAuth.js) kullanan projeler bunu sorunsuz şekilde kullanmaya devam edebilir
  • Yeni projelerde ise, belirli özelliklere — özellikle veritabanı olmadan stateless session yönetimi — ihtiyaç yoksa Better Auth kullanılması öneriliyor
  • Better Auth yol haritasında bu özellikler de yer alıyor. Mükerrer geliştirme yerine ekosistemin tek bir yapı altında birleşerek daha ileri bir yöne evrilmesi hedefleniyor

Geçiş süreci ve topluluğa teşekkür

  • Geçişi değerlendiren ekipler için bir rehber sunuluyor; yakında daha fazla dokümantasyon ve kaynak da eklenecek
  • Bugüne kadar Auth.js’i geliştiren topluluğa ve başlıca katkıcılarına (özellikle Balázs, Thang Vu, Nico Domino, Lluis Agusti, Falco Winkler) derin teşekkür iletiliyor
  • Better Auth’un başlangıç noktasının Auth.js olduğu ve iki projenin birleşmesiyle kimlik doğrulama ekosisteminin daha ileri taşınabileceği vurgulanıyor
  • Temel hedefin değişmediği, yani “kimlik doğrulama sahipliği geliştiricinin kendisindedir” anlayışının sürdüğü belirtiliyor

İlgili okumalar

5 yorum

 
shakespeares 2025-10-05

Next.js tarafındaki değişimler o kadar yoğun ki gerçekten oldukça yorucu..
 
ahwjdekf 2025-09-28

Böyle kararsız bir şeyi kullanmaktansa doğrudan Clerk gibi bir şey kullanmak ve kullanıcı sayısı arttığında o zaman kimlik doğrulama sorununu ciddi ciddi düşünmek daha iyi olur bence
 
ahwjdekf 2025-09-28

Geçenlerde auth.js ile bir şeyler yapmayı denemiştim ama bu kadar kısa sürede yine bir şeyler değişmiş. Web tarafı gerçekten çok yorucu ve bezdirici. Bir de belgelerde ve örneklerde hatalı bir kısım olduğu için PR isteği de açmıştım ama sanki ortada bir sorun yokmuş gibi kapatmışlardı, bu da beni epey afallatmıştı. Görünüşe göre ekip içeride pek iyi işlemeyen bir durumdaymış.
 
GN⁺ 2025-09-28
Hacker News görüşleri

  • Better Auth'un 5 milyon dolar yatırım aldığı söyleniyor; tamamen ücretsiz bir projenin ticari bir girişim tarafından içine alınması biraz üzücü geliyor

    • Auth.js ve NextAuth.js'in durumu pek sağlıklı değildi; NextAuth.js v5 geliştirmesi 2023 Mayıs'ta başladı ama hâlâ beta durumda, 2023 Ağustos'ta adı Auth.js olarak değiştirildi ve Ekim'de v5.0.0-beta.0 çıktı, ana katkı sağlayıcılardan Balázs Orbán 2025 Ocak'ta ekipten ayrıldı, sonuçta hâlâ kararlı bir sürüm olmadan beta aşamasında kaldı
      geçiş süreci, tartışma, isim değişikliği kaydı, beta sürümü, commit geçmişi, X (Twitter) duyurusu incelenebilir
    • Bu kaygıyı anlıyorum ama Auth.js'nin aslında "gerçekten ücretsiz" olduğunu düşünmüyorum; pek çok şirketten destek alıyordu (hatta Clerk bile dokümantasyon sitesine reklam koyacak kadar), Better Auth ise başlangıçta ticari amaç olmadan açık kaynak bir proje olarak başladı ama daha fazla şirketin kimlik doğrulama sistemine kolayca sahip olabilmesini istemeleriyle ticari genişleme doğal biçimde gerçekleşti, Auth.js'i devralma sebepleri de ekibin projeden elini çekmeye karar vermesi ve bunun sahipsiz kalmasını önlemekti, Lucia örneğinde olduğu gibi açık kaynak kimlik doğrulama projelerinin güven kaybettiği durumlar zaten yaşandı ve gerçekten sahipsiz kalıp güvenin çökmesini engellemek istediler
    • Auth.js tamamen ücretsiz ama fiilen terk edilmiş durumda
    • Ben FusionAuth'ta çalışıyorum ve NextAuth'a sponsor olmuşluğum var; insanların geçimini sağlaması gerekiyor ve NextAuth da sponsorların ticari desteğini alan bir projeydi, aslında sponsorluktan ne kadar para çıktığını tam bilmiyorum ama Clerk ve Vercel'in proje üzerindeki etkisi gibi konularda ilgili yorumlara bakmak faydalı olabilir, açık kaynak iş modellerinin zorlukları hakkında kişisel blogumda daha ayrıntılı bir yazı var
    • Bu durumda en azından toplanan yatırımın, açık kaynak projeyi temel alan gelecekteki bir SaaS kimlik doğrulama çözümünü geliştirmek için olduğu anlaşılıyor

  • Auth.js'in ChatGPT, Google Labs, Cal.com gibi yerlerde gerçekten kullanıldığını duyuyorum; ama OpenAI'nin kimlik doğrulama sistemini Auth0'dan taşıdığını görmedim, acaba ne oldu merak ediyorum

    • Bildiğim özel bir hikâye yok ama kendi deneyimime göre Auth0'a geçmeye çalıştığımız oldu ve pek iyi değildi; standarttan biraz bile sapınca destek çok zayıf kalıyor, düzgün çalıştığında bile çok iyi sayılmaz, yine de kimlik doğrulamayı üçüncü taraf bir SaaS'a devretmek gerekiyorsa Auth0 eldeki daha iyi seçeneklerden biri olabilir
    • OpenAI'nin gerçek kullanımına dair bazı ipuçları Ory'nin resmi vaka çalışmasında görülebilir
    • AWS Cognito ile Auth0 arasında seçim yapmaya çalışıyorum; Cognito ve Auth0 arasında hangisinin pratikte daha iyi hissettirdiğine dair farklı kişilerin deneyimlerini duymak isterim
    • Görünüşe göre OpenAI, SSO/SAML tarafını WorkOS'a taşıdı ve genel tüketici kimlik doğrulaması için de açık kaynak bir projeyi fork ederek kullandı
    • Ory de OpenAI'de kullanıldıklarını iddia ediyor, dolayısıyla OpenAI muhtemelen Ory hizmetleriyle Better Auth benzeri araçları birleştirerek bir çözüm kurdu

  • Bu framework sayesinde kimlik doğrulamayı neredeyse hiç dert etmem gerekmiyor; kurulumu basit ve framework'ler arasında kullanım şekli de tutarlı, bu avantajların devam edecek olması sevindirici

  • Biri Better Auth'un 'auth.js'den daha iyi olup olmadığını' sorduğunda içimden refleks olarak "auth.js'den daha iyidir" diye geçirmiştim; sonunda gerçekten öyle oldu

  • Keşke Go dili için de böyle kolay bir kimlik doğrulama çözümü olsa

    • Ben doğrudan Go, JS ve Rust'ı (sunucu tarafı WASM kullanarak) destekleyen bir çözüm geliştiriyorum; ileride Python vb. desteği de eklemeyi planlıyorum, BetterAuth/OpenAuth seviyesinde olgunluk ya da özellik sunmasa da projede kimlik doğrulama gerektiğinde geliştirici deneyimi (DX) açısından çok memnunum
      decent-auth GitHub
    • Buna tamamen katılıyorum; golang için kimlik doğrulama çözümleri yok değil (FusionAuth gibi) ama sanırım aranan şey, Rails'teki devise ya da Django'nun kullanıcı modeli gibi doğrudan uygulamanın içine işleyen, framework seviyesinde kolay bir kütüphane, bu konudaki reddit başlığında çeşitli alternatifler de tanıtılmış
    • authelia/authelia GitHub da denenebilir
    • ory/kratos GitHub da bir seçenek olabilir

  • İki ürünü de kullandım ve kişisel olarak memnun kaldım; bu iki projenin iş birliği yapması güzel

    • Gerçekte olan şey, Better Auth'un Auth.js'i sürdürüyor gibi yapıp insanları Better Auth'a yönlendirmeye çalışmasından ibaret

  • Clerk kullanıyorum ve fena görünmüyor; her şey hakkında söylentiler var ama ben şimdilik geliştirmeye odaklanmak istiyorum

    • Clerk'i henüz denemedim ama para harcamak gerçekten geliştirmeyi kolaylaştırıyorsa bazı projeler için iyi bir tercih olabilir; bu arada Better Auth'u benim bare-bones repoma kurmam bir saatten bile kısa sürdü

  • Geliştirici açısından işleri olabildiğince basitleştirdiği için Better Auth bana doğrudan daha iyi geliyor

  • Bu haber üzücü geliyor; fiilen Auth.js'in ek geliştirmesi duruyor gibi görünüyor, ben Auth.js'in basit fonksiyon implementasyonunu GraphQL API'min arka tarafında kusursuz kullanabildiğim için seviyordum ama Better Auth'ta veri tipleri eklentiye göre değiştiğinden TypeScript'teki any gibi fazla genel kalıyor, ayrıca veritabanı şema tasarımı ve migration yürütme sorumluluğu da eklenti geliştiricisine bırakılıyor, bir kimlik doğrulama kütüphanesi için fazla ileri gittiğini düşünüyorum ve bu yapıyı sevmiyorum, ayrıca ayrı bir adapter yazmak da mümkün ama onun arayüzü bile doğrudan şema üzerinde kontrolü kaybettiren çok genel, SQL benzeri keyfi sorgu çalıştırıcıları uygulamayı gerektiriyor, migration tarafında da sadece kod string'i alıp eval eden bir yapı olduğu için güvenlik üzerindeki kontrolü sağlamak kolay değil
    Uzun zamandır Better Auth'un teknik yenilikten çok geliştiricisinin kendi kendine yetişmiş ya da genç olması gibi yönleriyle ilgi gördüğü hissi vardı; bu yüzden önyargılı olmamaya çalışıyordum ama bu kaygıların da tamamen yersiz olmadığı anlaşılıyor, yine de Auth.js'in sahipsiz kalmış olmasındansa daha iyi ama bu da JS ekosistemindeki açık kaynak kimlik doğrulama kütüphanelerinin ne kadar hayal kırıklığı yarattığını gösteriyor
    adapter implementasyonu örneği, TechCrunch'ta çıkan geliştirici haberi

      1. Auth.js'i tamamen kapatma kararı ancak mevcut kullanıcıların sorunsuz biçimde Better Auth'a geçebileceğinden emin olunduğunda alınır (yani bu hâlâ çok uzak), fiilen herkesin zorla taşınacağı bir durumun oluşmaması daha olası
      2. Eklentilerle gelen ek özellikler NextAuth'ta olmayan şeyler; yalnızca çekirdek kütüphane kullanılsa bile NextAuth'un özelliklerinin neredeyse tamamı sunuluyor ve eklentilerin çoğunu da biz sağlıyoruz, isteyen kendi eklentisini yazabilir, kopyalayıp değiştirebilir ya da sadece bizim sunduklarımızı kullanabilir, veritabanı işlemlerini de biz hallediyoruz, böylece doğrudan mantık yazmadan kimlik doğrulama sistemine sahip olunabiliyor
      3. Auth.js zaten uzun süredir etkisiz durumdaydı, ani bir kapanışın açık kaynak kimlik doğrulama ekosistemindeki güvene büyük zarar vereceğini düşündüğümüz için bunu engellemek adına Better Auth çatısı altına aldık, Lucia Auth dönemindeki güven kaybı deneyimi de aklımızdaydı

  • Better Auth duyurusundan yalnızca 3 saat sonra Vercel ile ilgili açıklama GitHub commit'inden kaldırıldı