Вам нужно разделить атаки на два пула.1) Атаки против вашего собственного сайта и 2) Атаки против кого-то другого, использующего вас в качестве прокси.Ни одна из этих проблем не является новой или уникальной для OpenID.Например, классические формы электронной почты «расскажи другу» могут быть автоматизированы для рассылки спама по электронной почте с IP-адреса и адреса электронной почты прокси-стороны, защищая спам-рассылку от последствий и предоставляя им (потенциально) чистый IP / адрес электронной почты, который не являетсяуже отмечены защитой от спама.В первую очередь это было решено с помощью «CAPTCHA», чтобы предотвратить автоматическое использование формы.
Для атак на ваш собственный сайт, все это было рассмотрено бесчисленное количество раз раньше.Попробуйте здесь: защитить себя от DOS-атак
Для атак на чужой сайт применяются многие из тех же принципалов, которые упоминались в этом другом вопросе.Отрегулируйте запросы на проверку подлинности, отклоните необоснованные или неправильно сформированные запросы, проверьте заголовок Content-Length по фактическому содержимому на POST-назад и, конечно, вы всегда можете добавить классическую «CAPTCHA», чтобы предотвратить автоматические атаки с использованием вашего OpenID-потребителя.Также вопреки другим предложениям, я бы не ограничивал использование TID OpenID, а скорее IP-адрес запрашивающей стороны.Да, люди могут арендовать прокси-IP-адреса, но вы не можете регулировать их в зависимости от TLD, поскольку база пользователей для каждого поставщика OpenID будет сильно различаться.Вы также можете приобрести базу данных известных IP прокси у таких компаний, как MaxMind .Если пользователь идет с IP-адреса прокси, увеличьте агрессивность своего регулирования.