На мой взгляд, это следует считать секретным. Безопасно хранить в БД в виде простого текста, но я бы не стал показывать OpenID людей, чтобы кто-нибудь мог их просмотреть. Есть множество причин, некоторые из которых:
- Это не обязательно
- Он (в сочетании с паролем) является ключом ко многим дверям; таким образом, это выглядит довольно сочно для атакующего
- На отдельных сайтах вы можете настроить свою личность; если OpenID открыт для каждого из них, можно было бы собрать информацию о ком-то, кто пытался поддерживать независимость на различных сайтах
Не критично, что он остается приватным, однако, поэтому дополнительные усилия по хэшированию (и соли / и т.д.) на самом деле не являются необходимыми. Это просто создает другое место, чтобы поддерживать немного сложности, и область, которая может пойти не так. Тем не менее, если бы я увидел, что это сделано, я бы не стал расстраиваться из-за этого.
Конечно, я считаю неправильным рассматривать OpenID как общедоступный бит информации.