Сессии и куки в Express: безопасно

Куки решают больше, чем кажется

Правильные флаги куки закрывают целый класс атак почти бесплатно:

• httpOnly - куку не достанет JavaScript;
• secure - только по HTTPS;
• sameSite: "lax" - защита от CSRF по умолчанию.

Сессии я держу не в памяти, а в MySQL: тогда они переживают перезапуск процесса и работают на нескольких воркерах. Память процесса - плохое место для того, что нельзя терять.