secure: true: ESSENCIAL para HTTPS. Garante que o cookie seja enviado apenas em conexões HTTPS. Defina como false se não estiver usando HTTPS em desenvolvimento, mas sempre true em produção.

Em localhost mesmo com o secure true o cookie funciona normalmente. Então se usa localhost:1234 para acessar durante o desenvolvimento já pode deixar o secure fixo.

Isso ocorre porque os browsers entendem que o localhost é seguro