{ "id": "add-better-auth-to-a-nextjs-app", "type": "playbooks", "category": "playbooks", "locale": "de", "url": "/de/playbooks/add-better-auth-to-a-nextjs-app", "title": "Prompt-to-PR: Better Auth zu einer Next.js-App hinzufügen", "description": "Vollständiges SOP für die Integration von Better Auth in ein Next.js App Router-Projekt — Sitzungen, E-Mail/Passwort, OAuth und Middleware-Schutz in einem Durchgang.", "tools": [ "Cursor", "Claude Code", "Codex", "Windsurf" ], "stack": [ "Next.js", "TypeScript", "PostgreSQL" ], "tags": [ "auth", "nextjs", "typescript", "postgres" ], "difficulty": "medium", "updated": "2026-06-08", "markdown": "Ein vollständiges Playbook zum Hinzufügen von [Better Auth](https://www.better-auth.com/) zu einem bestehenden Next.js 15 App Router-Projekt mit PostgreSQL-Unterstützung. Deckt den Auth-Server, den Routen-Handler, den Client-Helper, die Middleware und die Anmelde-UI in einem einzigen Agentendurchlauf ab.\n\n## 1. Anforderung\n\nFüge sitzungsbasierte Authentifizierung mit E-Mail/Passwort und GitHub OAuth hinzu. Schütze alle Routen unter `/dashboard` über die Next.js-Middleware. Speichere Sitzungen in der vorhandenen PostgreSQL-Datenbank mit dem integrierten Drizzle-Adapter von Better Auth.\n\n## 2. Erster Prompt\n\n```txt title=\"First Prompt\"\nAdd Better Auth to this Next.js 15 App Router project.\n\nStack: PostgreSQL (Drizzle ORM, schema in src/db/schema.ts), TypeScript, Tailwind.\n\nTasks:\n1. Install `better-auth` and `@better-auth/drizzle`.\n2. Create `src/lib/auth.ts` — configure BetterAuth with the Drizzle adapter,\n emailAndPassword plugin, and GitHub socialProvider. Read secrets from\n BETTER_AUTH_SECRET, GITHUB_CLIENT_ID, GITHUB_CLIENT_SECRET env vars.\n3. Create `src/app/api/auth/[...all]/route.ts` that re-exports the auth handler\n for GET and POST.\n4. Create `src/lib/auth-client.ts` that exports a `createAuthClient()` instance\n for client components.\n5. Add Better Auth tables to `src/db/schema.ts` using `auth.api.generateSchema()`.\n6. Create `src/middleware.ts` that protects every route under `/dashboard`;\n redirect unauthenticated requests to `/sign-in`.\n7. Create `src/app/(auth)/sign-in/page.tsx` — a minimal email/password form and\n a \"Continue with GitHub\" button using the auth client.\n8. Do not touch any existing route or component unless strictly necessary.\n```\n\n## 3. Erwartete Dateiänderungen\n\n```txt\npackage.json (better-auth, @better-auth/drizzle)\nsrc/lib/auth.ts (new — server auth instance)\nsrc/lib/auth-client.ts (new — browser auth client)\nsrc/app/api/auth/[...all]/route.ts (new — catch-all route handler)\nsrc/db/schema.ts (new tables: user, session, account, verification)\nsrc/middleware.ts (new — route protection)\nsrc/app/(auth)/sign-in/page.tsx (new — sign-in UI)\n.env.local.example (BETTER_AUTH_SECRET, GITHUB_* vars)\n```\n\n## 4. Review-Checkliste\n\n- `BETTER_AUTH_SECRET` hat mindestens 32 zufällige Bytes — niemals hartcodiert.\n- Der Catch-All-Routen-Handler exportiert sowohl `GET` als auch `POST`.\n- `src/middleware.ts` verwendet `matcher`, um `_next/static`, `_next/image` und `/api/auth` auszuschließen.\n- Der Drizzle-Adapter erhält dieselbe `db`-Instanz, die auch anderswo verwendet wird — keine zweite Verbindung.\n- `createAuthClient()` in `auth-client.ts` zeigt auf die korrekte `baseURL` (liest `NEXT_PUBLIC_APP_URL`).\n- Die Anmeldeseite ist eine Client-Komponente (`\"use client\"`) — keine serverseitigen Importe.\n- Die GitHub-OAuth-Callback-URL in den GitHub-App-Einstellungen stimmt mit `/api/auth/callback/github` überein.\n- Neue Schema-Tabellen werden hinzugefügt, nicht vorhandene Tabellen ersetzt.\n\n## 5. Testbefehle\n\n```bash\n# Generate and run the new auth migrations\nnpx drizzle-kit generate\nnpx drizzle-kit migrate\n\n# Start dev server\nbun dev\n\n# Smoke-test: attempt to hit protected route without a session\ncurl -I http://localhost:3000/dashboard\n# Expect: 307 redirect to /sign-in\n\n# Run any existing test suite\nbun test\n```\n\n## 6. Häufige Fehler\n\n- **`BETTER_AUTH_SECRET` fehlt zur Laufzeit** — Better Auth wirft einen Fehler beim Start. Füge es zu `.env.local` hinzu; überprüfe mit `console.log(process.env.BETTER_AUTH_SECRET?.length)` in `auth.ts` (danach entfernen).\n- **Doppelte Drizzle-Verbindung** — der Agent erstellt einen zweiten `drizzle()`-Aufruf in `auth.ts` anstatt aus `src/db/index.ts` zu importieren. Verursacht zwei Verbindungspools.\n- **Middleware stimmt mit `/api/auth` überein** — verursacht eine unendliche Weiterleitungsschleife. Der `matcher` muss `/api/auth/(.*)` ausschließen.\n- **Client-Komponente importiert server-only `auth`** — Build-Fehler. Nur `auth-client.ts` sollte in Client-Komponenten importiert werden.\n- **GitHub-Callback-URL stimmt nicht überein** — OAuth schlägt still fehl. Bestätige, dass der GitHub OAuth-App-Callback in der Entwicklung `http://localhost:3000/api/auth/callback/github` ist.\n\n## 7. Fix-Prompt\n\n```txt title=\"Fix Prompt\"\nThe middleware is redirecting /api/auth/* to /sign-in, causing an infinite loop.\n\nFix src/middleware.ts so the matcher explicitly excludes:\n- /api/auth/:path*\n- /_next/static/:path*\n- /_next/image\n- /favicon.ico\n\nAlso confirm that auth.ts imports `db` from `src/db/index.ts` rather than\ncreating a second Drizzle instance.\n```\n\n## 8. PR-Beschreibung\n\n```md title=\"PR description\"\n## Auth: Add Better Auth (email/password + GitHub OAuth)\n\n- Installs `better-auth` with Drizzle adapter against the existing PostgreSQL db\n- Catch-all `/api/auth/[...all]` route handles all auth requests\n- Middleware protects `/dashboard/**`; unauthenticated → `/sign-in`\n- New sign-in page with email/password form and GitHub OAuth button\n- Four new schema tables (`user`, `session`, `account`, `verification`) via migration\n\n**Env vars required** (see `.env.local.example`):\n- `BETTER_AUTH_SECRET` — min 32-byte random string\n- `GITHUB_CLIENT_ID` / `GITHUB_CLIENT_SECRET`\n- `NEXT_PUBLIC_APP_URL`\n```" }