Как реализовать session-based аутентификацию в Node.js?

Session auth: после логина создаётся сессия на сервере, клиент получает session ID в cookie. При каждом запросе cookie автоматически отправляется, сервер находит сессию. Плюсы: можно мгновенно инвалидировать (logout со всех устройств), сессии можно посмотреть/управлять. Минусы: stateful — при горизонтальном масштабировании нужен shared store (Redis). express-session + connect-redis: удобная реализация. Для REST API JWT часто предпочтительнее (stateless), для web приложений — sessions.