С приложениями SPA это не сложно. Каждый раз, когда у вас есть XHR, вы вызываете firebase.auth().currentUser.getIdToken(), который разрешается с токеном ID пользователя, и вы передаете его вместе с вашим запросом либо в заголовке, либо в запросе postBody.
На вашем бэкэнде вы получаете токен ID, если он есть, и проверяете его, используя библиотеку Firebase Admin SDK node.js через verifyIdToken. После проверки вы получаете заявки на полезную нагрузку, идентифицирующие пользователя, и возвращаете соответствующую информацию для этого пользователя. В противном случае вы считаете, что пользователь вышел из системы.