С точки зрения безопасности достаточно того, что вы сделали. Но есть еще кое-что, что вы захотите / должны сделать. Первый - установить этот атрибут в теге верхней страницы:
<%@ Page ValidateRequest="false" %>
В противном случае ваши пользователи увидят случайные сбои входа в систему, потому что некоторые сообщения OpenID «выглядят» опасными для ASP.NET.
Следующее, что вы захотите сделать, это настроить страницу xrds.aspx и ссылку на нее со своей домашней страницы. Это не обязательно для того, чтобы заставить работать базовый OpenID, но это повышает безопасность вашего сайта, если у вас есть открытые URL-адреса перенаправителя, и некоторые провайдеры, такие как Google и Yahoo, могут отображать уродливые предупреждающие сообщения для ваших пользователей, если вы не выполняете это должным образом » RP discovery "аспект вашего сайта.
После этого вы можете оставить это в покое, если вы получаете все, что вам нужно.
Но если вас интересуют только пользователи Google, рассмотрите возможность использования элемента управления OpenIdButton ASP.NET вместо OpenIdTextBox, так как он может обеспечить лучшее визуальное представление для ваших пользователей.