Eu acho melhor usar o NextAuth do que o iron-session. E normalmente crio um sistema de autenticação por email junto com autenticação social. Dependendo da aplicação uso só a autenticação social, é mais fácil pra desenvolver e mais fácil pro usuário final.
Respondendo a "Já sim mano, isso que gerou dúvidas, usei o iro..." dentro da publicação Dúvida sobre autenticação no react/NextJS
1