https://scotch.io/tutorials/authenticate-a-node-js...
По этой ссылке очень хорошо описан процесс. NodeJS + MongoDB (ORM mongoose)
Access-token на клиенте можно хранить в localStorage. По access-token на бэкэнде можно узнать, какой юзер делает запрос. В общем, там всё отлично написано.