NextAuth vs Clerk tartışması 2026 itibarıyla SaaS kimlik mimarisinin merkezine oturdu; üçüncü güçlü oyuncu Supabase Auth ise PostgreSQL tabanlı uygulamalarda hızla varsayılan hâline geliyor. Kısa cevap: kontrol, maliyet ve self-host esnekliği için NextAuth (Auth.js v5); hızlı çıkış, hazır UI ve B2B SSO için Clerk; tek elden veritabanı + auth bütünlüğü için Supabase Auth. Bu yazıda üç çözümü 2026’nın gerçek rakamlarıyla karşılaştırıyor, MAU başına maliyet, JWT doğrulama gecikmesi, oturum modeli, RBAC olgunluğu ve compliance kapsamı üzerinden karar çerçevesi sunuyoruz. Stack Overflow Developer Survey 2024 verilerine göre Next.js, web framework kategorisinde %17,9 kullanım payıyla React tabanlı SaaS’ların büyük çoğunluğunu domine ediyor; bu da auth kararının doğrudan ürünün time-to-market’ini ve birim ekonomisini etkilediği anlamına geliyor.
Üç çözümün 2026 konumlandırması
2026’da SaaS kimlik pazarı üç katmana ayrıştı. Birinci katman, açık kaynak kütüphaneler: Auth.js (eski adıyla NextAuth.js) v5, Lucia Auth ve Better-Auth gibi kod-merkezli çözümler. İkinci katman, yönetilen kimlik platformları: Clerk, WorkOS, Auth0, Stytch. Üçüncü katman ise BaaS-entegre auth: Supabase Auth, Firebase Authentication ve AWS Cognito. NextAuth GitHub deposu 26.000’i aşan yıldız sayısıyla TypeScript ekosisteminin de facto açık kaynak standardı; Clerk ise 2024 sonunda 50 milyon dolar Series B yatırımıyla enterprise SaaS müşterilerine ölçeklenmiş durumda. Supabase, 2024’te Series C kapsamında 80 milyon dolar yatırım aldı ve PostgreSQL tabanlı backend pazarında Firebase’in açık kaynak alternatifi konumunu sağlamlaştırdı.
Üç ürün farklı problemi çözer. Auth.js, “framework içinde kalan kütüphane” felsefesini benimser; Clerk, “auth’u SaaS gibi tüket” yaklaşımıyla DX’i öncelikler. Supabase Auth ise “auth veritabanının uzantısı” tezi üzerine kuruludur — kullanıcılar PostgreSQL’deki auth.users tablosunda yaşar ve Row Level Security (RLS) ile satır seviyesinde yetkilendirilir.
| Boyut | NextAuth (Auth.js v5) | Clerk | Supabase Auth |
|---|---|---|---|
| Lisans | ISC, açık kaynak | Tescilli SaaS | Apache 2.0 (GoTrue), self-host mümkün |
| Hosting modeli | Self-host (uygulama içinde) | Managed cloud | Managed + self-host |
| Veri sahipliği | %100 sizin DB’niz | Clerk altyapısı | Sizin Supabase projeniz |
| Hazır UI | Yok (kendiniz) | Tam set, | Auth UI kütüphanesi |
| Ücretsiz katman | Sınırsız (kendi maliyetiniz) | 10.000 MAU | 50.000 MAU |
| İlk paid plan (≈) | — | $25/ay + MAU üstü | $25/ay (Pro) |
| GitHub yıldız (≈) | 26.000+ | Kapalı kaynak | 78.000+ (ana repo) |
| Tipik hedef | Next.js mono-stack | B2B SaaS, ajanslar | Postgres-first uygulamalar |
Tablodaki en kritik satır veri sahipliği. KVKK ve GDPR uyumu gerektiren kurumsal projelerde, kullanıcı tablosunun bulunduğu yargı yetkisi pazarlık konusu değildir. NextAuth ve Supabase Auth (özellikle self-host modunda) tam kontrol sağlar; Clerk ise veri ikametgâhını yalnızca Enterprise planında müzakere edilebilir kılar.
NextAuth (Auth.js v5): kontrolün bedeli ve kazancı
Auth.js v5, 2024 sonunda stable sürümle birlikte App Router-first mimariye geçti; auth() tek fonksiyonu hem Server Components, hem Route Handlers, hem Middleware’de kullanılabilir hâle geldi. v4’e kıyasla yapı sadeleşti, JWT ve database session arasındaki tercih artık tek satır config ile değişiyor. Tipik bir Next.js + Prisma kurulumunda auth.config.ts dosyası 80-120 satır arasında kalır; bu da framework içi auth için son derece makul bir cognitive load’tur. Auth.js’in resmi belgeleri için authjs.dev birincil kaynaktır.
- Avantaj: 80+ OAuth provider hazır (Google, GitHub, Microsoft Entra, Apple, Discord, Slack, Twitch, LinkedIn vs.) — yeni provider eklemek 5-10 satır kod.
- Avantaj: Adapter mimarisi sayesinde Prisma, Drizzle, Kysely, MongoDB, DynamoDB, Postgres ile sorunsuz; veritabanı satıcısına bağlı kalmazsınız.
- Avantaj: MAU bazlı ücret yok; 1 milyon kullanıcıda da auth maliyeti uygulamanızın DB ve compute maliyetiyle sınırlıdır.
- Dezavantaj: Hazır UI yok — sign-in sayfası, magic link e-postası, MFA flow’u sizin sorumluluğunuzda.
- Dezavantaj: Multi-tenant B2B (organization, invite, role) için yerleşik soyutlama yok; el ile modellemeniz gerekir.
- Ne zaman seç: Stack’iniz Next.js merkezli, KVKK/GDPR için DB sahipliği zorunlu, geliştirme ekibiniz auth karmaşıklığını yönetebilecek olgunlukta.
NextAuth’ın “gizli maliyeti” geliştirme zamanıdır. Magic link akışını üretime almak; rate-limit, e-posta provider (Resend, Postmark, SES), token rotasyonu ve refresh stratejisi dahil yaklaşık 2-3 sprint alır. MFA için TOTP eklenmesi (örneğin otplib ile) ek 1 sprint daha gerekebilir. Buna karşılık çalıştığında, davranışı tamamen sizin elinizdedir: sessiz biçimde değişen bir SaaS davranışı ya da fiyat şoku riski yoktur. Bu, “framework içi auth vs ayrı servis” tartışmasının pratik karşılığıdır: tek deploy birimi mi, ayrışmış sorumluluk mu sorusunun cevabı stack’inizi şekillendirir.
Clerk: hızlı çıkışın ve hazır UI’ın getirisi
Clerk’in temel iddiası net: “Auth’a haftalar değil, saatler harcayın.”
| Clerk plan | Aylık taban | Dahil MAU | MAU üstü | B2B SSO / SCIM | Notlar |
|---|---|---|---|---|---|
| Free | $0 | 10.000 | — | Sınırlı | Branding zorunlu |
| Pro | $25 | 10.000 | ≈ $0,02 / MAU | Add-on | Branding kaldırılır |
| Enhanced B2B | $100+ | 10.000 | ≈ $0,02 / MAU | Dahil | Organization yönetimi |
| Enterprise | Custom | Müzakere | Müzakere | Dahil | SLA, dedicated support |
Tabloyu okurken dikkat: “≈ $0,02 / MAU” oranı vendor fiyat tarifesi etrafında dolaşan tahmini rakamdır; gerçek tutar plan kombinasyonuna ve eklentilere göre değişir. 100.000 MAU’lu bir B2C ürün için Clerk faturası aylık 2.000-2.500 dolar bandına yerleşebilir. Bu, “kendi auth’unu yaz” senaryosuyla kıyaslandığında pahalı görünür; ancak iki backend mühendisinin 6 hafta auth yazması da en az aynı maliyettir. Karar, MVP geliştirmenin 6 haftalık takvimi içinde auth’a ne kadar bütçe ayırabileceğinize bağlıdır.
- Avantaj: Üretime hazır UI bileşenleri; tasarımcı + frontend geliştirici saatleri ~80 azalır.
- Avantaj: B2B organization modeli (invite, role, domain-based auto-join) varsayılan; WorkOS benzeri SSO add-on tek panelden açılır.
- Avantaj: Passkey, MFA, bot detection, attack mitigation Clerk tarafında — kendiniz yönetmezsiniz.
- Dezavantaj: Vendor lock-in: kullanıcı tablosu Clerk’te; çıkışta migrasyon ihaleli iş.
- Dezavantaj: MAU bazlı fatura; başarılı bir ürün için maliyet eğrisi doğrusal değil, dikey çıkabilir.
- Ne zaman seç: Solo founder veya 2-4 kişilik ekiple 3 ay içinde para kazandıran B2B SaaS çıkaracaksanız.
Supabase Auth: veritabanı ile birleşik kimlik
Supabase Auth, perde arkasında GoTrue isimli açık kaynak Go servisini kullanır (Netlify Identity’nin fork’u). Asıl gücü, kullanıcıların aynı PostgreSQL veritabanındaki auth.users tablosunda yaşaması ve Row Level Security politikalarıyla doğrudan SQL düzeyinde yetkilendirme yapılabilmesidir. Bir posts tablosuna auth.uid() = user_id şeklinde policy yazdığınızda, frontend’den gelen tüm sorgular otomatik olarak kullanıcının kendi verisine sınırlanır. Resmi rehber için supabase.com/docs/guides/auth başvurulacak ilk kaynaktır.
Bu mimari, geleneksel “API katmanında yetki kontrolü” yaklaşımının yerini “veritabanı katmanında yetki kontrolü”ne bırakır. RLS doğru yazıldığında “yanlışlıkla başka kullanıcının verisini sızdırma” sınıfı hataların büyük çoğunluğu engellenir. Yanlış yazıldığında ise çok daha sessiz hatalar yaratır: bu yüzden RLS politikaları için TDD pratiğinin uygulanması güçlü tavsiyedir; her policy için pozitif ve negatif test senaryoları yazmak şarttır.
| Supabase plan | Aylık taban | MAU dahil | MAU üstü (≈) | DB / Storage | Notlar |
|---|---|---|---|---|---|
| Free | $0 | 50.000 | — | 500 MB DB | 1 hafta inaktivite sonrası pause |
| Pro | $25 | 100.000 | ≈ $0,00325 / MAU | 8 GB DB, 100 GB transfer | Daily backup 7 gün |
| Team | $599 | 100.000 | ≈ $0,00325 / MAU | Team koltukları | SSO, log retention 28 gün |
| Enterprise | Custom | Müzakere | Müzakere | Custom | SOC 2 Type 2, HIPAA |
Fiyat tarifesi tahmini olarak özetlenmiştir; gerçek tutar için doğrudan vendor sayfasını doğrulayın. Supabase Auth’un MAU başına maliyeti Clerk’e kıyasla yaklaşık 6 kat daha düşük; ancak Supabase’in “auth + database + storage + edge functions” bileşik bir SaaS olduğunu unutmamak gerekir. Auth ucuz olsa da, ağır DB iş yükleri compute add-on’larını tetikler.
Özellik matrisi: 2026 itibarıyla derin karşılaştırma
Yüzeysel “şu vs bu” karşılaştırmalarının ötesine geçmek için 12 boyutlu özellik matrisine bakalım. Aşağıdaki tablo seçim kararını üst yönetime sunarken kullanılabilecek standart bir çerçeve sağlar.
| Özellik | NextAuth v5 | Clerk | Supabase Auth |
|---|---|---|---|
| OAuth provider sayısı | 80+ | 20+ (büyük olanlar) | 20+ |
| Magic link e-posta | Var (provider lazım) | Var, dahili | Var, dahili |
| Passkey (WebAuthn) | Adapter ile | Yerleşik | Yerleşik (2024’ten beri) |
| TOTP MFA | Manuel kurulum | Yerleşik | Yerleşik |
| SMS OTP | Custom provider | Yerleşik (Twilio) | Yerleşik (Twilio/MessageBird) |
| SAML / OIDC SSO | Provider ile (Boxyhq) | Yerleşik (paid plan) | Yerleşik (Team+) |
| SCIM provisioning | Yok (custom) | Var (paid plan) | Var (Enterprise) |
| B2B organization model | Manuel modelleme | Yerleşik | Yerleşik (2024) |
| RBAC / ABAC | Manuel | Yerleşik roles + permissions | RLS + custom claims |
| Audit log | Yok (custom) | Var (paid plan) | Var (Pro+) |
| Self-host | Doğal | Mümkün değil | GoTrue self-host |
| Edge runtime uyumu | Tam (v5) | Tam | Tam (PostgREST) |
Matrisin gösterdiği şey net: Clerk ve Supabase Auth “battery included” çözümlerdir; NextAuth ise “kütüphane + adaptör + sizin entegrasyon kararlarınız” modelidir. Auth’u bir ürün özelliği olarak kapsüllemek istiyorsanız yönetilen çözümlere meylediyorsunuzdur; auth’u uygulamanızın doğal bir parçası olarak modellemek istiyorsanız NextAuth tarafına çekiliyorsunuzdur.
Performans, gecikme ve token mimarisi
Bir kimlik çözümünün üretimde “iyi” sayılabilmesi için iki temel ölçüt kritik öneme sahiptir: oturum doğrulama gecikmesi (her isteğin başında ödenen vergi) ve cold-start davranışı (özellikle serverless deployment’larda). Aşağıdaki tipik değerler vendor mimarisi ve referans kurulumlar üzerinden derlenmiş yaklaşık benchmark’lardır; gerçek üretim metriklerinizle doğrulamanız gerekir.
| Metrik (tipik) | NextAuth v5 (JWT) | NextAuth v5 (DB session) | Clerk | Supabase Auth (JWT) |
|---|---|---|---|---|
| Doğrulama gecikmesi (P50) | ≈ 2-5 ms | ≈ 15-40 ms | ≈ 5-12 ms (cache hit) | ≈ 2-5 ms |
| Doğrulama gecikmesi (P95) | ≈ 8 ms | ≈ 60 ms | ≈ 30 ms | ≈ 8 ms |
| Token tipi | JWE (şifreli JWT) | Opaque session ID | JWT (kısa ömürlü) | JWT (HS256/ES256) |
| Token yenileme stratejisi | Rolling JWE | DB lookup | Background refresh | Refresh token (rotating) |
| Edge / Worker uyumu | Tam (v5) | Kısıtlı (DB lazım) | Tam | Tam |
| Cold-start ek vergi | Minimal | DB conn pool gerekir | Yok (network call) | Minimal |
| Revocation hızı | JWT TTL’ye bağlı | Anlık (DB) | Anlık (Clerk API) | Anlık (rotating refresh) |
JWT bazlı çözümler “stateless” oldukları için en hızlısıdır; bedeli ise revocation’ın token TTL kadar gecikmesidir. Database session, tersine, anlık geri çekme verir ama her isteğe DB lookup vergisi bindirir. Clerk, JWT’yi kısa ömürlü tutup background’da yenileyerek iki dünyanın arasında bir denge kurar. Go ile yüksek performanslı backend yazısında ele aldığımız “her isteğin başına eklenen sabit vergi” disiplini burada da kritiktir: 5 ms ile 40 ms arasındaki fark, dakikada 100.000 istek gören bir API için tasarrufu açısından kayda değerdir.
Toplam maliyet: 3 yıllık TCO senaryoları
Lisans + altyapı + geliştirici-saat üzerinden hesaplanmış 3 senaryo, fiyat sezgisini kalibre etmek için faydalıdır. Mühendis maliyetini tahmini olarak aylık 6.000-8.000 dolar (Türkiye orta-üst seviye), 1.500 dolar/saat ise mantıksız çıkar; bu nedenle Türkiye için 30-50 dolar/saat olarak aldık. Aşağıdaki rakamlar tipik bir SaaS yörüngesini canlandırmak için tahmini olarak hesaplanmıştır.
| Senaryo | MAU 36. ay | NextAuth 3yıl TCO (≈) | Clerk 3yıl TCO (≈) | Supabase Auth 3yıl TCO (≈) |
|---|---|---|---|---|
| Erken aşama SaaS | 5.000 | $10.000-15.000 (kurulum + bakım) | $0-900 (Free + Pro) | $0-900 (Free + Pro) |
| Büyüyen B2B | 50.000 | $15.000-25.000 | $25.000-40.000 | $1.000-2.500 |
| Ölçekli B2C | 500.000 | $25.000-40.000 | $300.000+ | $25.000-50.000 |
| Kurumsal SSO ağırlıklı | 20.000 | $30.000-50.000 (BoxyHQ + SCIM) | $15.000-30.000 | $22.000-35.000 (Team+) |
- Erken aşama SaaS: Clerk veya Supabase free katmanı en mantıklı tercih; NextAuth’ın geliştirme maliyetini ödemenin anlamı yok.
- Büyüyen B2B: Supabase açık ara en ekonomik; ancak SSO/SCIM gereksinimi varsa Clerk’in B2B paketi takvimi hızlandırır.
- Ölçekli B2C: Clerk maliyeti hızla doğrusallıktan dikey çıkışa geçer; NextAuth’ın self-host avantajı bu noktada belirgin kazanca dönüşür.
- Kurumsal SSO ağırlıklı: Clerk, SAML/SCIM ihtiyacını “Enhanced B2B” paketine yıkarak en hızlı time-to-market’i verir.
Tablo, “Clerk pahalı” basitleştirmesinin neden yanlış olduğunu gösterir: ekibinizin geliştirme kapasitesi, müşteri profiliniz ve ürünün ölçeklenme hızı kimin pahalı olduğunu tanımlar. “Saat ücreti × süre = gerçek build maliyeti” formülü auth kararında da geçerlidir.
Güvenlik, compliance ve denetim
2024 itibarıyla ENISA Threat Landscape raporu, kimlik bağlantılı saldırıların (credential stuffing, MFA bypass, session hijacking) en sık görülen 5 saldırı vektöründen ikisini oluşturduğunu belirtiyor; rapora enisa.europa.eu üzerinden erişilebilir. OWASP Top 10 2021 listesinde de “Identification and Authentication Failures” hâlâ A07 konumunda. Bu yüzden kimlik tedarikçisi seçerken sertifikalara ve varsayılan güvenlik davranışlarına bakmak şarttır.
| Compliance / güvenlik | NextAuth v5 | Clerk | Supabase Auth |
|---|---|---|---|
| SOC 2 Type 2 | Uygulamaya devreder | Vendor sertifikası var | Vendor sertifikası var |
| ISO 27001 | Uygulamaya devreder | Vendor sertifikası var | Vendor sertifikası var |
| GDPR / KVKK | Tam kontrol sende | DPA var, veri ABD/AB | DPA var, AB region seçilebilir |
| HIPAA | Uygulama mimarisi belirler | Enterprise paketi | Enterprise paketi |
| Rate limit / bot defense | Sen yazarsın | Yerleşik | Yerleşik (CAPTCHA, hCaptcha) |
| Şifre hashing | Adapter (bcrypt/argon2) | bcrypt + pepper | bcrypt |
| Audit log retention | Sen yazarsın | 30-90 gün (plana göre) | 7-90 gün (plana göre) |
| Anomaly detection | Yok | Yerleşik | Sınırlı |
NextAuth tercih edenlerin sıklıkla yaptığı hata, “kütüphane güvenli, bitti” yanılgısıdır. Auth.js bir kütüphane olarak güvenlidir; ancak rate limit, audit log ve anomaly detection’ı sizin eklemediğiniz sürece uygulama OWASP A07’ye karşı korunmuş sayılmaz. Bu, NIST Special Publication 800-63B’nin “uygulamaya özgü güvenlik kontrolleri” maddelerinde de açıkça belirtilir; ilgili belgeye NIST SP 800-63B sayfasından ulaşabilirsiniz.
Geliştirici deneyimi ve ekosistem
Geliştirici deneyimi (DX) sayısal bir ölçü gibi görünmese de takvim ve fatura üzerinde doğrudan etkilidir. Stack Overflow Developer Survey 2024’te geliştiricilerin %63’ü TypeScript’i “loved” kategorisinde işaretledi; bu, üç çözümün de TypeScript SDK kalitesinin doğrudan benimseme oranını etkilediği anlamına geliyor. Auth.js v5 native TypeScript ile yazılmıştır, Clerk SDK’sı full-typed, Supabase ise supabase-js üzerinden tip güvenli sorgular sunar.
- Kurulum süresi (sıfırdan giriş ekranı): Clerk ≈ 30 dakika, Supabase Auth ≈ 1 saat, NextAuth ≈ 3-4 saat.
- İlk MFA aktivasyonu: Clerk dashboard’tan tek tık, Supabase 1-2 saatlik kod, NextAuth manuel TOTP entegrasyonu 1 gün.
- Migration zorluğu (ürünü değiştirmek): NextAuth → kendi DB’niz, taşınabilir. Clerk → çıkış göçü en zoru. Supabase → GoTrue self-host’a çıkarılabilir.
- Topluluk + öğrenme kaynakları: NextAuth GitHub Discussions çok aktif; Clerk YouTube ve docs ağırlıklı; Supabase Discord son derece canlı.
- Edge case desteği: Multi-tenant’ta Clerk; framework-içi karmaşık callback’lerde NextAuth; SQL-RLS heavy uygulamalarda Supabase önde.
Üç çözümün ekosistemi de hızlı evriliyor; bu yüzden bugün doğru olan bir karar 18 ay sonra revize edilmeli. Yazılım refactoring ve legacy modernleştirme bakış açısıyla yaklaşırsak, auth katmanını izole bir modül olarak sarmalamak (kendi auth.ts facade’inizin altında) gelecekteki taşınma maliyetini ciddi ölçüde düşürür. Ömer Önal olarak danışmanlık verdiğim ekiplerde tavsiye ettiğim ilk mimari kural budur: vendor SDK’sını uygulama kodunun her yerine değil, tek bir kapı arkasına yerleştirin.
Karar matrisi: hangi ürüne hangi profil yakışır?
Bir karar matrisi, son toplantıda “hangisi” sorusunu 5 dakikada kapatmanızı sağlar. Aşağıdaki çerçeve, ekip büyüklüğü, ürün tipi, kullanıcı ölçeği ve uyum gereksinimine göre üç çözüm arasından önceliklendirme yapar.
| Profil | Önerilen | Yedek seçenek | Neden |
|---|---|---|---|
| Solo developer, B2C SaaS | Clerk | Supabase Auth | UI hazır, hız maliyet kırar |
| 4 kişilik ekip, B2B SaaS, MVP | Clerk | NextAuth | Organization modeli yerleşik |
| 10+ kişilik ekip, ölçekli ürün | NextAuth | Supabase Auth | Maliyet eğrisi ve kontrol |
| Postgres-first uygulama | Supabase Auth | NextAuth + Postgres adapter | RLS ile satır seviyesi yetki |
| KVKK / GDPR sıkı denetim | NextAuth (self-host) | Supabase (AB region) | Veri ikametgâhı kontrolü |
| Sağlık / fintech | NextAuth + dedicated auth servisi | Clerk Enterprise | Audit + isolation gereksinimi |
| Çok hızlı pivot eden startup | Clerk | Supabase Auth | Auth en az dikkat çekmeli |
Matrisin altındaki ilke şudur: auth, ürünün diferansiyatörü değilse SaaS satın alın; ürününüz auth’un kendisi etrafında bir değer üretiyorsa kendi yazın. Üç çözümden hiçbiri “her durum için en iyi” değildir; üçü de farklı bir trade-off matrisinin galibidir. Yazılım outsourcing kararını verirken kullanılan “core vs context” ayrımı burada da işe yarar: auth context ise satın al, core ise kendin inşa et.
SSS (Sıkça Sorulan Sorular)
NextAuth ile Auth.js aynı şey mi?
Evet. Proje 2023 sonunda framework-agnostic hâle gelirken “NextAuth.js” adından “Auth.js” adına geçti. v5 sürümü resmî olarak Auth.js ismini kullanır; Next.js paketi next-auth ismi altında devam eder. İçerik üreticileri ve yayınlar hâlâ “NextAuth” terimini yaygın kullanır; pratikte aynı projeden bahsedilir.
Clerk’i bırakıp kendi auth’umuza geçmek ne kadar zor?
Migrasyon zor ama imkânsız değildir. Clerk, user export endpoint’i sağlar; ancak parola hash’leri Clerk algoritması ile saklandığından kullanıcıların ilk login’de şifre sıfırlama akışından geçmesi gerekir. OAuth ile giren kullanıcılar için süreç daha sorunsuzdur; e-posta + parola yoğun ürünlerde planlı bir göç penceresi gerekir.
Supabase Auth’un Row Level Security politikası riskli mi?
RLS politikaları doğru yazıldığında güvenliğin temel taşıdır; yanlış yazıldığında sessiz veri sızıntılarına yol açar. Her policy için pozitif ve negatif testler, EXPLAIN ile sorgu planı incelemesi ve staging ortamında penetrasyon testleri zorunludur. Politikalar konusunda Supabase docs ve CNCF community önerileri başlangıç için yeterlidir.
Passkey’e şimdi geçmeli miyim?
2026 itibarıyla passkey desteği büyük tarayıcılarda olgunlaştı; FIDO Alliance verileri, yetişkin kullanıcıların yaklaşık üçte birinin en az bir passkey’i olduğunu gösteriyor. Yeni kullanıcı kayıtlarında “passkey’i tercih et, parolayı yedek bırak” akışı 2026’da makul varsayılan hâline geldi. Mevcut kullanıcılarda zorla geçiş yerine kademeli teşvik daha sağlıklıdır.
Tek başına SAML SSO için Clerk vs WorkOS hangisi?
WorkOS yalnızca enterprise SSO odaklıdır; B2C giriş, kullanıcı UI ve organization yönetimi sunmaz. Eğer ürününüz zaten kendi auth’unu yönetiyor ve sadece “Enterprise Ready” SAML/SCIM eklemek istiyorsa WorkOS uygundur. Eğer auth + SSO bütünlüğünü tek panelden almak istiyorsanız Clerk daha entegre bir deneyim verir.
Sonuç
NextAuth vs Clerk vs Supabase Auth kararı, ürününüzün hangi aşamada olduğu ve auth’un ürün için ne anlama geldiğiyle başlar. Ekibiniz küçükse ve para kazandıran bir B2B ürün için 3 ay içinde çıkmanız gerekiyorsa Clerk, takvimi sıkıştırmak için en mantıklı yatırımdır; B2B organization modeli ve SSO eklentileri en pahalı sprintlerinizi öder. Postgres üzerine kurulu bir ürün yazıyorsanız ve veri katmanını uygulamanızın merkezine almak istiyorsanız Supabase Auth, RLS ile birlikte ölçeğe ulaşana kadar en düşük TCO’yu sunar. Ölçeklendiğinizde, ekip 10 kişiyi aştığında ve auth davranışını uçtan uca kontrol etmek bir zorunluluk hâline geldiğinde NextAuth (Auth.js v5) tartışmasız tercih olur.
Karar çerçevesini özetlersek: zaman kısıtınız varsa Clerk, maliyet kısıtınız varsa Supabase, kontrol kısıtınız varsa NextAuth. Geçişi düşük maliyetli kılmanın yolu, auth’u tek bir facade arkasında izole etmektir. Auth seçimi teknolojik değil, ürün stratejisi kararıdır.
SaaS’ınız için doğru kimlik mimarisini birlikte tasarlamak, mevcut Clerk faturanızı düşürmek veya NextAuth geçişini planlamak istiyorsanız iletişim sayfası üzerinden kısa bir keşif görüşmesi planlayabiliriz; ürününüzün ölçek profiline göre 3 senaryolu yol haritası hazırlıyorum.
Ömer ÖNAL
Mayıs 16, 2026Yazılım geliştirme projelerinde sıkça gözlemlediğim: kod kalitesi metrikleri (cyclomatic complexity, test coverage) baseline’ı belirlenmeden refactoring kararı veriliyor. Bu yaklaşım %40’ı aşan rework oranıyla sonuçlanıyor. Static analysis araçlarını CI pipeline’a entegre etmek ilk adım. Yorumlarınız?