Все по-прежнему должно быть HTTPS для безопасности.В противном случае злоумышленник может перехватить строку OpenID, предоставленную пользователем, и заменить ее собственным вредоносным сервером OpenID.Это было бы плохо, и обмануть всех, кроме самых опытных пользователей, в том, чтобы они вводили свой пароль на неверный сервер.
Они могли бы даже заменить ваше обращение к клиенту одним реальным сервером OpenID и позволить клиенту (неэффективно) войдите в систему, прежде чем вернуться на свой сайт ... Если они это сделают, им не удастся украсть пароль пользователя, но они все равно получат бэкдор в свою учетную запись.
Возможно, еще важнее,Если вы не используете HTTPS, отправляемые вами куки-файлы не защищены.Поэтому злоумышленник может просто подождать, пока пользователь не войдет в систему, а затем украсть его сеанс.