каша в голове связанная с токенами
Хорошо что ты это понимаешь. Небось как и все нубасики начитался прплаченных статеек от Auth0 и Firebase? Ну так каша специально, чтобы ты к ним побежал делать эти токены) Маркетинг. Хайп.
Второй шаг - не использовать токены для авторизации (как это делают ВСЕ реальные проекты, а не Hello World туториалы). Вместо токенов - обычные сессии. Токены - если будет публичный апи и микросервисы.
Третий шаг - не использовать Паспорт. Зачем он нужен если есть
express-session, не понимаю? Паспорт юзай только если будешь прикручивать несколько авторизаций социалок и времени вообще впритык. И то лучше самому и это сделать.