Если для вашхи задач Passport подходит, всё хорошо, оставайтесь на нём. Это правило касается любых решений и технологий. Более того, сам Passport не устарел, это официальный OAuth2 пакет от команды.
Airlock же проще, использует другой подход для аутентификации, более легковесный, но закрывающй большинство задач стоящих перед "как нам проверить что за зверь стучится в API/от SPA".
Вообще это тема отдельной статьи и они даже есть в инете, но грубо говоря Passport > Airlock , потому как из Airlock убрали все сложности Oauth
