Eu acho melhor usar o NextAuth do que o iron-session. E normalmente crio um sistema de autenticação por email junto com autenticação social. Dependendo da aplicação uso só a autenticação social, é mais fácil pra desenvolver e mais fácil pro usuário final.