Неужели ни одно веб-приложение, для которого требуется вход в OpenID, просто тайно хранит мой пароль и получает доступ к моим учетным записям?
Если нет, то почему нет?
Они не могут, так как вы отправляете свой пароль только вашему провайдеру OpenID. Однако существует риск, что сайт может отправить вас поддельному провайдеру, который заберет ваш пароль, поэтому важно еще раз проверить правильность URI, на котором вы находитесь, прежде чем вводить пароль.
Весь смысл открытого идентификатора заключается в том, что он ведет вас на безопасный веб-сайт, который запрашивает ваш пароль (ваш поставщик открытого идентификатора), который затем отправляет на сайт только запрашиваемую вами информацию, запрашивая эту информацию (например, адрес электронной почты, имя и т. Д.). .).
Для подробного объяснения того, как это работает, ознакомьтесь со статьей Википедии о том, что происходит во время процесса входа в систему .
Также важно рассмотреть альтернативу. Хорошо известно, что на большинстве сайтов люди повторно используют имена учетных записей и пароли. Представьте себе злой сайт, который побуждает людей создавать учетные записи. Пользователь создает учетную запись john_doe / xyzzy. Злой сайт теперь может проверить, работают ли эти учетные данные на amazon.com, ebay.com и т. Д. Я использую Google в качестве поставщика OpenId и полагаю, что Google вряд ли будет заниматься мелкой кражей, как случайный владелец форума. мощь.