OAuth 授权

  • 用户在 Google 页面同意授权(选择账号、允许权限)
  • Google 返回授权码(authorization code)到 NextAuth 配置的回调 URL(默认是 /api/auth/callback/google)。
  • NextAuth 收到 Google 返回的授权码
  • 使用 Google 的 client_id 和 client_secret 去请求访问 token 和用户信息
  • 获取用户信息(如 email、name、avatar)
  • 在 authorize 或 callbacks.signIn 中,你可以:
    • 在数据库查找或创建用户。
    • 设置用户的权限或角色信息。
  • NextAuth 生成一个 JWT 或 session cookie(取决于配置 session.strategy)。
  • 用户的会话信息会存储在 cookie 中,并包含一些用户信息或权限.
  • 调用 signOut()。
    • NextAuth 清空 cookie,会话失效。

Credentials Provider

Email Provider

问题

JWT vs token