开源身份验证框架 Better Auth 宣布加入 Vercel。创始人 Beka 在博客里用了大半篇幅回忆创业故事,但真正值得关注的是最后两段:双方要在 Vercel 全线产品里投入"面向 agent 的可撤销、可限定范围访问"。这句话看似官话,背后其实是一次精准的技术卡位——Vercel 补上的不是又一个登录组件,而是 AI agent 时代绕不开的身份基础设施。

一个开源库的第二次"被并入"

Better Auth 的故事本身就带着一点戏剧性。2021 年,Beka 做一个开源分析产品时发现 NextAuth 没有多租户组织功能,自己动手补,补完还不满意。2024 年 9 月 28 日,Better Auth 正式发布第一个版本,此后三个月每周发版,年底冲到 1.0,随后进入 YC,由 Peak XV(原 Sequoia 印度东南亚基金)领投,超过 50 家机构和天使跟投。

更有意思的一步在后面:Better Auth 后来把 Auth.js / NextAuth.js 项目吸收了过来。也就是说,这次加入 Vercel,已经是这条开源身份链条里的第二次"并入"——NextAuth 用户先被并进 Better Auth,现在 Better Auth 又被并进 Vercel。原文用"全circle时刻"来形容这份巧合,但对留在这条链条尽头的开发者来说,更现实的问题是:维护责任每传递一次,长期承诺的确定性就打一次折。

2.9 万星背后:Vercel 收编的是一个真实体量的社区

Vercel 愿意接手,不是因为情怀。Better Auth 目前 GitHub 仓库约有 2.9 万星标、2700 forks,周 npm 下载量约 460 万次,Discord 社区规模约一万人。这不是一个小众实验项目,而是一个已经嵌入相当数量 Next.js 项目技术栈的基础组件。

Better Auth 真实体量 2.9万 GitHub 星标 460万 周 npm 下载 1万 Discord 社区人数

对比一下赛道格局更能看清 Better Auth 的位置。托管服务型的 ClerkAuth0 把权限系统做得很完整,但要绑定其付费服务;NextAuth 长期深度绑定 Next.js,换框架就得推倒重来;Supabase Auth 依赖自家 Postgres 和行级安全策略,也是平台绑定型。Better Auth 主打框架无关、开源自托管、内置组织权限,填的正是这三类方案之间的空白——但这份"完整性"优势主要体现在自托管场景,面对 Clerk 服务的企业客户,它目前还谈不上直接替代。


agent 授权才是真正的赌注

原文提到的"面向 agent 的可撤销、可限定范围访问"不是一句空话。Vercel 近期推出的 Vercel Connect,核心思路就是让 agent 在运行时获得限定范围(scoped)、短生命周期的访问令牌,而不是长期共享密钥。Better Auth 这边,已经上线的 Agent Auth 插件,做的正是 agent 身份注册、发现和基于能力的短生命周期签名授权。

agent 授权的技术对接 Vercel Connect scoped 短生命周期令牌 Better Auth Agent Auth 插件 开发者应用 可撤销的 agent 权限

这才是这次并入的实际价值:Vercel 拿到的不只是一个开源库和社区,而是一套已经跑通的 agent 身份原语,可以直接嵌进自己的 agent 基础设施里,省掉从零搭建的时间。对开发者来说,如果未来在 Vercel 平台上部署 AI agent,身份和权限层很可能会默认走 Better Auth 这套逻辑。

开源的名分保住了,但技术路线已经跟着 Vercel 的产品节奏走。

三件没说清楚的事

  • 风险.交易的法律与商业性质——完全收购、股权投资还是团队并入——原文和公开信息都没有披露,条款是否公开也是未知数。

除了交易条款,开源治理独立性同样悬而未决。Better Auth 承诺继续保持开源、框架无关,但并入大厂后发版节奏、许可证条款、社区决策权是否还能保持原样,只能等后续版本迭代来验证。对已经在用 NextAuth 或 Better Auth 的团队而言,眼下最实际的动作不是急着迁移,而是盯紧接下来几个月的发版日志和许可证变化——这比创始人故事更能说明问题。