Что происходит после аутентификации с использованием openid? В простом случае пользовательский агент перенаправляется к провайдеру OpenID (OP). После необязательного входа в OP пользовательский агент снова возвращается на потребительскую страницу, которая упоминается в openid.return_to. Теперь потребитель также подтвердил и отправил ответ «200 ok».
Теперь мой вопрос заключается в том, что должен предоставить пользовательский агент для последующего доступа к странице потребителя. При возврате 200, печенье будет возвращено вместе с ним? Если да, что будет в этом куки? и каждый раз, когда браузер прикрепляет cookie для доступа к любой странице в домене пользователя?
Что произойдет, если печенье украдут? Может ли кто-то выдать себя за меня с помощью куки?