Olá,
O modulo do passport junto com a estrategia do GitHub e utilizado para bloquear as requisições, retornando 401 para quem não esta autorizado. Na parte do angular o interceptor verifica se o usuário recebe o 401 e caso isso aconteça ele retorna o usuário para uma determinada URL. Entendi corretamente?
Agora, caso eu crie uma rota no angularJS que não faz nenhuma chamada a API(Portanto não retorna 401 para os não autorizados), essa rota fica livre para qualquer usuário?