Когда вы добавляете значение в localStorage, оно отображается на стороне клиента (вы можете найти его в DevTools в вашем браузере). Вставлять токен в localStorage опасно, потому что информацию в нем может увидеть любой человек, поэтому хранение пароля еще более опасно. Информация, хранящаяся в токене, может быть легко декодирована, поскольку она шифруется только с использованием base64 (попробуйте с тестовым токеном в jwt.io )
Некоторая информация на этой странице может быть действительно полезным
По поводу вашей проблемы попробуйте сохранить возвращаемое значение jwt.sign(...), например:
let token = jwt.sign({user: ...}, YOUR_SECRET, {expiresIn: 3600})
// then send it
res.json({
success: true,
mytoken: token
})
Может быть, это будет работать