В спецификации OpenID указано, что слишком большие ответы OpenID должны использовать форму POST вместо перенаправлений 301, что помогает избежать этой проблемы. Я не знаю, пренебрегает ли verisign или clickpass той частью спецификации или нет. Но в целом ваши аргументы обратного вызова должны быть короткими, чтобы избежать подобных проблем. И, конечно, если ваш аргумент обратного вызова очень велик, он никогда не будет работать, так как аргументы обратного вызова всегда должны быть в строке запроса.
Как правило, если вы хотите, чтобы большой бит данных был доступен при возврате пользователя, вы можете сохранить его в БД, в сеансе пользователя или в файле cookie и сохранить только небольшую ссылку на эти данные в аргументе обратного вызова.
Помните, что все в аргументе обратного вызова подлежит проверке пользователем, любой третьей стороной, если HTTPS не используется для всего этого, и даже возможным вмешательством. DNOA обеспечивает дополнительную защиту от несанкционированного доступа для аргументов обратного вызова, но не конфиденциальность.