Это базовое управление сеансами веб-приложений с помощью файлов cookie, и OpenID здесь не имеет значения.
Нет, абсолютно не храните имя пользователя и пароль в куки.Cookie-файлы действуют как «токены на предъявителя», то есть тот, кто имеет cookie-файл, попадает в него. Лучшее, что можно сохранить в cookie-файле, - это неосуществимый и произвольный ключ, который вы можете использовать для поиска реальной информации в таблице в вашем приложении.Таким образом, пользователь обнаруживает cookie с «myappsession» и значением «234871nb341adf», привязанным к вашему домену.Затем ваше приложение будет искать значение «234871nb341adf» в локальном хранилище данных и проверять, связано ли оно с действительным пользователем.Вам лучше всего также проверить, как давно этот пользователь был там и еще много чего.Если это допустимый сеанс и он находится в пределах вашего времени и пределов использования, пользователь автоматически входит в систему.
Для дополнительной паранойи со стороны RP вы можете использовать режим OpenID checkid_immediate для выполнения фонового вызовачтобы увидеть, вошел ли пользователь в свой IdP.Если это не так, то вы, по крайней мере, знаете, к какому провайдеру попытаться отправить их для повторной проверки, и сможете ли вы обеспечить лучший пользовательский опыт.
Если вы хотите, чтобы ваш сайт был действительно безопасным, вам следует сделать это.все ваши сеансы через HTTPS и пометьте свои куки как «Защищенные» и «HTTPOnly», что описано на странице руководства по setcookie функциям: http://php.net/manual/en/function.setcookie.php