Sessão expressa usa o cookie para definir ou obter o id de sessão do cliente
conforme consta na documentação
Observe que secure:true é uma opção recomendada. No entanto, requer um site habilitado para https, ou seja, HTTPS é necessário para cookies seguros. Se seguro estiver configurado e você acessar seu site por HTTP, o cookie não será configurado.
Lembre-se dos pontos abaixo:
-
Se você não estiver hospedando em uma conexão HTTPS, o sinalizador de segurança do cookie deve ser definido como falso.
-
Se você estiver usando um proxy hospedado no HTTPS, defina o proxy confiável como 1. Consulte a documentação
A opção abaixo resolverá o problema de redefinição do ID de sessão para cada solicitação
cookie: { secure: false }
por exemplo:
app.use(session({
// your settings
cookie: { secure: false }
}))