开源身份验证框架 Better Auth 宣布加入 Vercel。创始人 Beka 在博客里用了大半篇幅回忆创业故事,但真正值得关注的是最后两段:双方要在 Vercel 全线产品里投入"面向 agent 的可撤销、可限定范围访问"。这句话看似官话,背后其实是一次精准的技术卡位——Vercel 补上的不是又一个登录组件,而是 AI agent 时代绕不开的身份基础设施。
一个开源库的第二次"被并入"
Better Auth 的故事本身就带着一点戏剧性。2021 年,Beka 做一个开源分析产品时发现 NextAuth 没有多租户组织功能,自己动手补,补完还不满意。2024 年 9 月 28 日,Better Auth 正式发布第一个版本,此后三个月每周发版,年底冲到 1.0,随后进入 YC,由 Peak XV(原 Sequoia 印度东南亚基金)领投,超过 50 家机构和天使跟投。
更有意思的一步在后面:Better Auth 后来把 Auth.js / NextAuth.js 项目吸收了过来。也就是说,这次加入 Vercel,已经是这条开源身份链条里的第二次"并入"——NextAuth 用户先被并进 Better Auth,现在 Better Auth 又被并进 Vercel。原文用"全circle时刻"来形容这份巧合,但对留在这条链条尽头的开发者来说,更现实的问题是:维护责任每传递一次,长期承诺的确定性就打一次折。
2.9 万星背后:Vercel 收编的是一个真实体量的社区
Vercel 愿意接手,不是因为情怀。Better Auth 目前 GitHub 仓库约有 2.9 万星标、2700 forks,周 npm 下载量约 460 万次,Discord 社区规模约一万人。这不是一个小众实验项目,而是一个已经嵌入相当数量 Next.js 项目技术栈的基础组件。
对比一下赛道格局更能看清 Better Auth 的位置。托管服务型的 Clerk、Auth0 把权限系统做得很完整,但要绑定其付费服务;NextAuth 长期深度绑定 Next.js,换框架就得推倒重来;Supabase Auth 依赖自家 Postgres 和行级安全策略,也是平台绑定型。Better Auth 主打框架无关、开源自托管、内置组织权限,填的正是这三类方案之间的空白——但这份"完整性"优势主要体现在自托管场景,面对 Clerk 服务的企业客户,它目前还谈不上直接替代。
agent 授权才是真正的赌注
原文提到的"面向 agent 的可撤销、可限定范围访问"不是一句空话。Vercel 近期推出的 Vercel Connect,核心思路就是让 agent 在运行时获得限定范围(scoped)、短生命周期的访问令牌,而不是长期共享密钥。Better Auth 这边,已经上线的 Agent Auth 插件,做的正是 agent 身份注册、发现和基于能力的短生命周期签名授权。
这才是这次并入的实际价值:Vercel 拿到的不只是一个开源库和社区,而是一套已经跑通的 agent 身份原语,可以直接嵌进自己的 agent 基础设施里,省掉从零搭建的时间。对开发者来说,如果未来在 Vercel 平台上部署 AI agent,身份和权限层很可能会默认走 Better Auth 这套逻辑。
开源的名分保住了,但技术路线已经跟着 Vercel 的产品节奏走。
三件没说清楚的事
- 风险.交易的法律与商业性质——完全收购、股权投资还是团队并入——原文和公开信息都没有披露,条款是否公开也是未知数。
除了交易条款,开源治理独立性同样悬而未决。Better Auth 承诺继续保持开源、框架无关,但并入大厂后发版节奏、许可证条款、社区决策权是否还能保持原样,只能等后续版本迭代来验证。对已经在用 NextAuth 或 Better Auth 的团队而言,眼下最实际的动作不是急着迁移,而是盯紧接下来几个月的发版日志和许可证变化——这比创始人故事更能说明问题。
