Является ли ответ с наибольшим количеством голосов здесь безопасным?
Насколько я могу судить, связь не зашифрована. Какие-либо другие дыры необходимо исправить для действительно безопасной системы аутентификации?
В Express сеансы используют файлы cookie для установления соединения между браузером и базой данных. Файл cookie шифруется с использованием секретного ключа, который вы установили в приложении. Если вы заинтересованы, это код, используемый для шифрования куки: https://github.com/senchalabs/connect/blob/master/lib/utils.js#L158-163
Если вы боитесь, что кто-то в сети может перехватить трафик, вам следует использовать HTTPS, а если вы еще более параноидальны, вы можете снова зашифровать данные на стороне клиента и расшифровать их на стороне сервера, используя Stanford Javascript Crypto Library .
Если вы также пытаетесь защитить от атак «человек посередине», то вам абсолютно необходимо HTTPS-соединение, подпись сертифицированного органа и предотвращение внедрения кода сторонних производителей на ваши страницы