Когда кто-то вводит открытый идентификатор на вашем сайте, вы аутентифицируете пользователя, спрашивая сайт, где живет пользователь OpenID (и только этот сайт), в порядке ли этот пользователь. Например, AOL не может проверить OpenID Yahoo.
Если пользователь еще не аутентифицирован на этом сайте, аутентификация не пройдена, и вам нужно перенаправить на страницу входа на этот сайт. Настоящая аутентификация все еще должна происходить, но она всегда происходит с провайдером OpenID для этого пользователя. Как пользователь, вы защищены, потому что вы должны видеть только страницу входа, с которой вы знакомы. Вредоносному сайту будет сложно перехватить учетные данные OpenID, поскольку пользователи никогда не передают эти сайты своим паролям напрямую.
Как только пользователь проходит проверку подлинности у своего провайдера (или если он с самого начала), провайдер сообщит об этом на ваш веб-сайт. Что изменило OpenID, так это то, что вашему сайту теперь нужно доверять определенным другим сайтам, чтобы они точно сообщали о статусе своих пользователей.
Кто-то может настроить «злонамеренный» провайдер открытого идентификатора и попытаться таким образом пропустить новые идентификаторы, но это между пользователем и провайдером. Поскольку эта аутентификация основана на репутации, идея заключается в том, что такой провайдер не останется в бизнесе надолго. Если ничего другого, сайты могут занести в черный список этих поставщиков. Вредоносный провайдер не сможет выдать себя за открытые идентификаторы, зарегистрированные у других провайдеров.
Еще одна возможность для злонамеренного провайдера - настроить службу OpenID, которая просто всегда подтверждает любой идентификатор, переданный ему для аутентификации (или позволяет администратору настроить черный ход для своих пользователей). Однако это повлияет только на пользователей, которые зарегистрированы у этого провайдера. Опять же, сайты могут занести в черный список этих провайдеров, и, поскольку они рассчитывают на репутацию, идея, которая не останется в бизнесе долго, все еще сохраняется.