Alors oui ce sont deux systèmes d'authentification différents, c'est sûr ! Mais je ne dis pas que c'est la même chose haha.
En fait le JWT - json web token - est un... cookie ! Qui contient ce qu'on appelle une "clé publique". Il faut comprendre que c'est une grosse suite de chiffres. Tout ça correspond à des informations qui permettent d'identifier la personne pour le connecter sans lui demander son mot de passe.
Si la personne veut se faire passer pour une autre personne en modifiant le JWT, alors la suite de chiffres devient invalide car on vérifie en permanence si elle a été "trafiquée" grâce à une clé secrète (elle, on ne la donne surtout pas à l'utilisateur et c'est Next Auth qui gère tout ça pour nous).
Le cookie est effectivement créé automatiquement par Next Auth quand on se connecte grâce à elle (la librairie Next Auth).