Auth-Provider-Rechner: was kostet Login wirklich?

Clerk vs Auth0 vs Supabase — der DX-Faktor

Auth ist eines der wenigen Felder, wo sich Developer-Experience nach dem ersten Tag schon rechnet. Du implementierst Auth nicht ein Mal — du wartest sie, erweiterst sie und debuggst sie ueber Jahre. Eine Stunde verschwendete Entwickler-Zeit pro Woche, in Euro umgerechnet, uebersteigt schnell den Preis-Unterschied zwischen den Anbietern.

Clerk hat das, was viele Auth-Anbieter zehn Jahre lang nicht hinbekommen haben: ein UI-Kit, das du ohne CSS-Anpassung in Production schmeissen kannst und trotzdem nicht peinlich aussieht. Plus: B2B-Orgs, Membership-Logik, Invites und User-Switching sind first-class. Auth0 kann das auch — aber mit drei Customization-Layern und Lock-Library-Magie, die regelmaessig zwischen Major-Versions brechen.

Supabase nimmt einen radikalen Shortcut: Auth ist im Datenbank-Plan inkludiert. Wenn du sowieso Postgres + Storage + Realtime brauchst, kostet dich Auth de facto null Euro zusaetzlich. Der Trade-off: keine first-class B2B-Orgs (musst du mit Row-Level- Security selbst nachbauen), und der Vendor-Lock ist tiefer als bei anderen — wenn du raus willst, migrierst du Auth, Datenbank und Storage parallel.

Wann WorkOS unverzichtbar ist

Es gibt einen Moment in jedem B2B-SaaS-Wachstum, wo der erste Enterprise-Kunde im Verkaufsgespraech fragt: „Habt ihr SSO?" Die Antwort kann den Deal machen oder brechen. SAML, OIDC, SCIM- Provisioning fuer Okta, Azure AD, Google Workspace, OneLogin — das ist alles eigenes Compliance- und Engineering-Land.

WorkOS hat sich genau auf dieses Loch spezialisiert: $125 pro Monat flat, unabhaengig wie viele Connections oder MAU. Ein REST-API, eine SDK, fertig. Im Vergleich: Clerk Enhanced Auth (+$100/Mo + per-connection-fees), Auth0 mit SSO- Tier ab $240/Mo, Stytch mit SSO-Addon. Wenn dein Plan einen Enterprise-Tier ab $2k/Mo hat, ist WorkOS die billigste Methode, ihn zu liefern.

Self-Hosted Better-Auth — der Maintenance-Trade-off

Better-Auth ist TypeScript-native, Open-Source und kostet $0. Auf dem Papier perfekt fuer den indie-Founder. Realitaet: du uebernimmst die Verantwortung fuer:

• Security-Patches (kritisch: Brute-Force-Schutz, Session-Hijack- Prevention, OAuth-Token-Rotation)
• SMTP-Wartung fuer Magic-Links (Email-Reputation managen, sonst landen Logins im Spam)
• MFA-Library auf dem Stand halten (TOTP, Passkeys, WebAuthn-API- Changes)
• Datenbank-Migrationen bei jedem Schema-Update
• Account-Recovery-Flows bauen (Lost-Password, Lost-MFA-Token, Account-Deletion-GDPR-Workflows)

Wenn du das auf eine Stunde pro Woche schaetzt: bei einem Engineer-Stundensatz von 100 Euro sind das 5.200 Euro im Jahr. Damit zahlt sich Clerk bei mittelgrosser User-Base sofort. Bei sehr grossem Volume (100k+ MAU) oder strenger DSGVO-Anforderung (Daten duerfen Deutschland nicht verlassen) kippt die Rechnung wieder Richtung Self-Hosted.

Cognito: 50k free, aber willst du das DX?

AWS Cognito ist der billigste Provider, wenn du auf Cash schaust. Free-Tier 50.000 MAU. Danach $0.0055 pro MAU. Bei 100k MAU bist du bei $275 monatlich — Clerk waere bei $25 + $2.000 = $2.025. Faktor 7 Unterschied.

Trotzdem migrieren immer mehr Teams weg von Cognito. Die Gruende:

• Die Hosted-UI ist optisch im 2016er-AWS-Stil eingefroren — keine Markenfuehrung moeglich ohne komplett selbst zu bauen.
• Custom-Auth-Flows laufen ueber Lambda-Trigger, die schwer zu debuggen sind. Cold-Starts bei Login-Latency wahrnehmbar.
• SDKs zwischen JavaScript, iOS und Android divergieren stark. Cross-Platform-Apps doppelte Implementierung.
• Adaptive-Authentication / Risk-Based-MFA nur in Plus-Tier ($0.015/MAU).

Phone-Auth: warum SMS-Kosten ueberraschen

SMS-OTP klingt nach „einer der vielen Auth-Optionen" — bis du den ersten Monat mit Phone-Auth in Production hinter dir hast. Pro SMS kostet ein Mainstream-Provider zwischen $0.025 und $0.06. Wenn 30% deiner MAUs einmal im Monat per SMS einloggen, bei 50k MAU sind das 15.000 SMS — $375 bis $900 monatlich, oben auf das Auth-Pricing.

Lehrgeld: Manche Auth-Anbieter rechnen SMS in den Per-MAU-Preis ein, andere lassen dich getrennt zahlen. Cognito zaehlt SMS getrennt ($0.0075 plus Twilio-Pass-Through), Clerk hat ein eigenes SMS-Pricing, Stytch sehr transparent in der API. Wenn deine Use- Cases SMS-heavy sind (Indien-Markt, mobile-only Apps), kann SMS mehr kosten als Auth selbst.

Was die Rechnung nicht zeigt

• SAML-Connection-Fees. Auth0 berechnet pro Enterprise- Connection ueber dem Plan-Limit, Stytch hat ein Bundle. WorkOS flat — daher der Preis-Vorteil bei vielen Connections.
• Implementation-Cost. Erstes Setup kostet zwischen 40h (Clerk Drop-in) und 200h+ (Cognito mit Custom-Flows). Bei 100€/h sind das 4k bis 20k Euro Engineering, einmalig.
• Migration-Lock-In. Auth0 hat ein migration-Endpoint (Userdaten exportieren), Cognito auch (PrincipalId-Mapping). Bei Supabase und Firebase ist Auth-Migration deutlich aufwendiger, weil Auth + DB verschraenkt sind.
• Bot-Detection / Account-Takeover-Protection. Bei Auth0 Premium-Add-On, bei Clerk ab Enhanced Auth, bei Cognito eingebaut in Plus-Tier. Fuer Public-B2C-Apps nahezu Pflicht.

Haeufige Fragen