Если вы не хотите для текущего пользователя передавать его идентификатор (и не создавать потенциальную уязвимость для получения данных произвольного пользователя), нужно использовать сессию. Идентификатор сессии после успешной аутентификации возвращается в качестве кукиз и автоматически передается с каждым запросом. Таким образом сервер находит пользователя и дальше вы используете id полученный из сессии.
Почитайте больше в документации express.js как настроить сессию и ее хранение на стороне сервера между пользовательскими запросами.