Поменяй на свой поддомен из DOMAIN в .env.
Страница должна быть открыта по адресу из ALLOWED_ORIGIN (по умолчанию http://localhost:8080).
—
Что ожидаем: после Login браузер должен сохранить куку (она HttpOnly — в DevTools видна на вкладке Application → Cookies для домена API, но JS её не видит).
Кнопка Check /me должна возвращать {ok:true, sid:...}. Если кука не сохранилась — придёт 401.