位置

我会说位置真的取决于你的项目范围和你的偏好，如果你做的东西相对较小，那么我会使用Next.js，但如果你做的东西比使用外部服务器更大，可能会更好。

身份验证

所以Next.js是服务器端渲染的，所以它可以在前端和后端执行操作。所以NextAuth.js的工作方式是它部分运行在Next.js的服务器端，部分运行在客户端。它处理认证和验证服务器端和交互客户端。
password-js我假设你的意思是passport-js，因为我找不到一个同名的库。因此，有几种方法可以使用passport.js处理身份验证，其中一种方法是使用JWT令牌，它是一个唯一的base64编码令牌，包含用户ID和其他一些数据（请注意，JWT令牌中的任何信息都没有加密，只是签名。所以里面的所有数据都是公开的），它在服务器上用私钥签名，并且在登录时由所述服务器验证。
处理身份验证的另一种方法是使用会话令牌，其中您在DB中有一个记录，其中包含会话令牌（基本上是一个随机ID）以及其他一些信息，如到期日期。这个会话令牌可以在登录时提供给前端，稍后当操作需要在服务器上通过检查记录是否存在于DB中进行身份验证时提供给用户。
会话令牌的主要优点是，它通常被认为更安全，因为它可以在任何时候撤销，相比之下，您可以为JWT设置到期日期，但您不能撤销令牌，这可能是一个问题，如果说帐户被泄露，则无法撤销该令牌，直到它到期。请注意，passport.js在内部支持这些方法，你不必重新实现它们，你可能想看看https://www.passportjs.org/tutorials/password/session/和这个https://stytch.com/blog/jwts-vs-sessions-which-is-right-for-you/，以更深入地比较JWT和Sessions。