Я бы склонился к req.session.regenerate, но это зависит от того, что ты пытаешься сделать.Если вы просто сделаете req.session.auth = user, то вы сохраните аутентификацию в сеансе.Однако, если вы используете regenerate, вы фактически очистите весь сеанс, а затем сохраните аутентификацию.
Разница в том, что при первом подходе любые другие переменные сеанса в текущем сеансе сохранятся.Вы сами должны выяснить, имеет ли это смысл для вашего сайта или вы предпочитаете, чтобы сессия была чистой после завершения аутентификации.