Илья Шатохин

Быстро накидал рекурсию, проверяйте сами.

scan(middleware_path, middleware);

function scan (dir, d) {
	fs.readdirSync(dir).forEach(function(file) {
		if (fs.statSync(dir + '/' + file).isDirectory()) {
			d[file] = d[file] || {};
			scan(dir + '/' + file, d[file]);
		} else if (file.endsWith('.js') {
			file = file.slice(0, -3); 
			try {
				d[file] = require(middleware_path + file);
			} catch (e) {
				console.log(e);
			}
		}
	});
}

app.locals всегда мержатся с res.locals (по сути глобальные locals)

app.set() и app.get() используются для установки/чтения настроек приложения.

Как минимум fs.rename у вас асинхронная и вы тут же делаете удаление файла синхронно, логично, что rename будет нечего перемещать.

P.S. использовать синхронные функции - моветон (плюс падение производительности). Лучше перепишите на асинхронные с контролем выполнения.

var roleModule = require(./libs/roles);
var checkRole = function (name) { // пишем middleware один раз и для всех, передаем имя роутера через замыкание
  return function (req, res, next) {
    roleModule.hasPermission(req.currUser.role, name, function(permitted){ // возвращать флаг первым параметром ОЧЕНЬ плохая практика, по соглашению в node.js первым аргумент в коллбеке должна быть ошибка
      if (permitted)
        next();
      else
        res.sendStatus(403);
    })
  }
}

var router = express.Router();
router.use(checkRole("%name")); // где name это имя вашего модуля
app.use('/user', router);

gzippo плохой вариант, т.к. проект заброшен и объявлен как deprecated.
Для express.js лучше использовать https://github.com/expressjs/compression (желательно подключить одним из первых middleware, т.к. html контент тоже должен быть сжат).

Для отдачи статики есть модуль https://github.com/expressjs/serve-static

Если req.body.id пришло строкой, то ничего не найдет, т.к. в монге данные хранятся в BSON, который является строготипизированным. Сделайте так:
com.find({post_id: parseInt(post_id)})

P.S. код скриншотом - это издевательство над людьми, которые хотят вам помочь :)

Третий вариант: фронтендом на сервере ставится nginx, и он проксирует запросы к Node (для рендера) и к Rails (для ajax на "/api"). Таким образом не нужны CORS запросы, для клиента это будет выглядеть как единый сервер.

Если используется Node.js MongoDB драйвер:

collection.find({}).sort({date: -1}).limit(10).toArray(function (data) { /* ваш код */ });