Вопрос следующий, при отправке запроса на сервер и успешном ответе, в ответе возвращать значение куки и устанавливать значение на клиенте через document.cookie или в самом ответе указать, что необходимо установить куки через res.cookie(...)?
Смотря что вы собрались туда писать и смотря где эти данные нужны.
Если это данные которые используются только клиентом и сервер их никак не использует, то лучше через document.cookie. Если наоборот, то res.cookie.
Токен и прочие конфидециальные данные для идентификации, по-хорошему, писать в HttpOnly cookie на сервере.
connecter, ну в вашем случае без передачи на клиент не обойтись. Изучайте вопрос. Тут однозначного решения нет. В зависимости от требований к безопасности решение может быть как технически очень простым так и сложным.
Просто имейте ввиду, что если вы просто будете хранить токен в localStorage или не HttpOnly cookie, то его можно будет угнать с помощью простого браузерного расширения или других дыр, при их наличии.
