Se eu tiver entendido bem a sua estrutura no comentário acima, tudo que você precisa é criar validações nas rotas de admin, então se o usuário não estiver logado e não tiver os privilégios necessários a rota irá retornar 401.
Boa parte dos frameworks costumam tem uma lib built-in pra fazer isso, acredito que não seja o caso do Express e nesse caso recomendo que você faça na unha para praticar.