Вы можете уточнить, что вы подразумеваете под кодом авторизации? Вы правы, что apiCalback fn возвращает набор токенов, который вы должны сохранить в своей базе данных, связанной с каждым пользователем.
const tokenSet: TokenSet = await xero.apiCallback (req.url);
Одним из преимуществ использования SDK является то, что вам не нужно делать этот шаг обмена кода. Клиент openid обрабатывает этот обмен для вас. Если вы хотите применить решение самостоятельно, вам нужно будет выполнить все шаги, описанные в первой ссылке на документацию ^^
- кодировать временный код, которым можно обмениваться только один раз, и срок его действия истекает через 5 минут после выдачи.