Auth Setup

วิธี setup Auth.js v5 (NextAuth) กับ Next.js — install, config, callbacks, type extension

Auth.js v5 Setup Guide

ขั้นตอนการ setup Auth.js v5 กับ Next.js App Router — Credentials provider + JWT strategy

1. Install Auth.js v5

ติดตั้ง next-auth@beta สำหรับ Next.js App Router

pnpm add next-auth@beta

2. Environment Variables

ตั้งค่า AUTH_SECRET สำหรับ encrypt JWT — สร้างด้วย openssl

# .env
AUTH_SECRET="your-secret-key"  # openssl rand -base64 32
AUTH_URL="http://localhost:3000"

3. Auth Config (lib/auth/auth.ts)

สร้าง auth config — Credentials provider + JWT strategy + callbacks

import NextAuth from 'next-auth';
import Credentials from 'next-auth/providers/credentials';

export const { handlers, auth, signIn, signOut } = NextAuth({
  providers: [
    Credentials({
      async authorize(credentials) {
        // validate credentials กับ API / database
        const user = await authService.login(credentials);
        if (!user) return null;

        return {
          id: user.id,
          email: user.email,
          name: user.name,
          role: user.role,
          accessToken: user.accessToken,
        };
      },
    }),
  ],

  session: { strategy: 'jwt', maxAge: 7 * 24 * 60 * 60 },

  pages: {
    signIn: '/features/next-auth/login',
  },

  callbacks: {
    async jwt({ token, user }) {
      if (user) {
        token.id = user.id;
        token.role = user.role;
        token.accessToken = user.accessToken;
      }
      return token;
    },
    async session({ session, token }) {
      session.user.id = token.id;
      session.user.role = token.role;
      session.user.accessToken = token.accessToken;
      return session;
    },
  },
});

4. Route Handler

สร้าง API route สำหรับ Auth.js — แค่ re-export handlers

// src/app/api/auth/[...nextauth]/route.ts
export { GET, POST } from '@/lib/auth/auth';

5. Type Extension

ขยาย type ของ Session, User, JWT ให้รองรับ custom fields

// src/@types/next-auth.d.ts
import type { DefaultSession, DefaultUser } from 'next-auth';
import type { DefaultJWT } from 'next-auth/jwt';
import type { UserRole } from '@/constants/role.constant';

declare module 'next-auth' {
  interface Session {
    user: {
      id: string;
      role: UserRole;
      accessToken: string;
    } & DefaultSession['user'];
    error?: string;
  }
  interface User extends DefaultUser {
    role: UserRole;
    accessToken: string;
    refreshToken: string;
    accessTokenExpiresAt: number;
  }
}

declare module 'next-auth/jwt' {
  interface JWT extends DefaultJWT {
    id: string;
    role: UserRole;
    accessToken: string;
    refreshToken: string;
    accessTokenExpiresAt: number;
    error?: string;
  }
}

6. Server-side Session (auth())

ใช้ auth() ใน Server Component — ไม่ต้อง prop drill

import { auth } from '@/lib/auth/auth';

// ใน Server Component / Server Action
const session = await auth();

if (!session?.user) {
  redirect('/features/next-auth/login');
}

// session.user.id, session.user.role, session.user.name

7. Client-side Session (useSession)

ใช้ useSession() ใน Client Component — ต้องมี SessionProvider ครอบ

// Layout: ครอบด้วย SessionProvider
import { SessionProvider } from 'next-auth/react';
import { auth } from '@/lib/auth/auth';

export default async function Layout({ children }) {
  const session = await auth();
  return (
    <SessionProvider session={session}>
      {children}
    </SessionProvider>
  );
}

// Client Component: ใช้ useSession
'use client';
import { useSession } from 'next-auth/react';

export function UserInfo() {
  const { data: session, status } = useSession();
  if (status === 'loading') return <Skeleton />;
  if (!session) return <p>Not logged in</p>;
  return <p>{session.user.name}</p>;
}

8. Login Server Action

Server Action สำหรับ login — ใช้ signIn() + redirect() ฝั่ง server ทั้งหมด

// lib/actions/login/actions.ts
'use server';

import { ROUTES } from '@/constants/route.constant';
import { signIn } from '@/lib/auth/auth';
import type { LoginInput } from '@/lib/schemas/login.schema';
import { AuthError } from 'next-auth';
import { redirect } from 'next/navigation';

export async function loginAction(data: LoginInput) {
  try {
    await signIn('credentials', {
      email: data.email,
      password: data.password,
      redirect: false, // ให้ Server Action จัดการ redirect เอง
    });
  } catch (error) {
    if (error instanceof AuthError) {
      return { success: false, error: 'Invalid email or password' };
    }
    throw error;
  }
  redirect(ROUTES.NEXT_AUTH);
  // ✅ redirect() ฝั่ง server → layout re-render → await auth() ได้ session ใหม่
  // ✅ ถ้า component รับ session เป็น prop จาก layout → UI update ทันที
}

9. ⚠️ Server/Client Session Sync

คำเตือนสำคัญ — signIn/signOut ทำงานฝั่ง Server แต่ useSession (Client) ไม่รู้ทันที

// ❌ ปัญหา: useSession ไม่ update หลัง login/logout
// signIn/signOut เปลี่ยน session cookie ฝั่ง Server
// แต่ SessionProvider ฝั่ง Client ยังถือ session เก่าอยู่
// → ถ้า component ใช้ useSession() อย่างเดียว → UI ไม่เปลี่ยนจนกว่าจะ refresh

// ✅ แนะนำ: ส่ง session จาก Server เป็น prop
// Layout (Server) → await auth() → ส่ง prop ให้ Client Component
// redirect() ใน Server Action → layout re-render → auth() ได้ session ใหม่ → prop update
export default async function Layout({ children }) {
  const session = await auth();
  return (
    <SessionProvider session={session}>
      {children}
      <AuthHeader session={session} /> {/* ✅ session จาก server เสมอ */}
    </SessionProvider>
  );
}

// Client Component รับ session เป็น prop — ไม่ต้องพึ่ง useSession
function AuthHeader({ session }: { session: Session | null }) {
  const user = session?.user;
  // ✅ redirect() ใน Server Action → layout re-render → prop ใหม่อัตโนมัติ
  return user ? <LogoutButton /> : <LoginButton />;
}

// ❌ ห้ามทำ
// - ใช้ useSession() เป็นตัวตัดสินใจ UI หลังเปลี่ยนสถานะ login/logout
//   → Server รู้ แต่ Client ไม่รู้ ต้อง refresh เอง
// - เก็บ session ใน state เอง (ใช้ auth() หรือ prop จาก server เท่านั้น)

Auth Demo

Guest