OpenID все еще довольно новый, и несколько проверяющих сторон пробуют новые и разные способы реализации OpenID. В настоящее время ведется работа документ с рекомендациями для проверяющих сторон , размещенный в фонде OpenID. В частности, они обращаются к вопросу о файлах cookie и продолжительности сеанса в своем последнем разделе . Безусловно, интересная идея - использовать постоянные куки-файлы требуемого_идентификатора, а не постоянные сеансовые куки-файлы, чтобы упростить жизнь пользователя - им нужно только выйти из своего OP и закрыть браузер.
Лично я считаю поведение, которое вы описываете в StackOverflow, вполне естественным. Если OpenID отсутствовал, и вы вошли на веб-сайт с именем пользователя / паролем на двух разных компьютерах с постоянным файлом cookie (очень распространенный сценарий), и вы изменили свой пароль на одном, я не удивлюсь, если другой компьютер все еще заставил меня войти в систему. Вы могли бы назвать это дырой в безопасности, но это все еще нормальная практика. На самом деле настолько нормально, что Gmail недавно добавил в нижней части экрана папки «Входящие» отображение, которое сообщает вам, где еще вы вошли в систему, и дает вам возможность аннулировать их сеансовый файл cookie.
Я бы предположил, что аналогичный подход может быть использован любым RP, независимо от метода аутентификации. И это, вероятно, уменьшит вашу озабоченность по поводу безопасности.