Google の OpenID IP (OP) には問題の温床が

昨日から、自分のウェブサイトで OpenID の Consumer を組み込もうとして、いろいろ弄っているのですが・・・・なんか GoogleOpenID IP (Identity Provider) が、困った仕様になっている気がします。

というのも、同一ユーザーであっても、Consumer の指定する return_to URL (openid.return_to) が異なると、認証結果として渡してくるユーザ識別子 (openid.claimed_id) が変わるようなのです。

なるほど、セキュリティに配慮してるんだなぁ・・・って、んん? これ、問題の温床じゃないかなぁ? 単純に、同時に2つ以上の return_to URL を使えないというだけの問題ではありません。例えばもし将来、サイトのドメインや構成を変えざるを得ない状況になった等の理由で return_to URL が変わってしまったら、それ以前のユーザー情報が引き継げない(新しい別のユーザとして処理せざるを得ない)ということになります。

えぇ〜〜〜〜? そんな OP は対応お断りしたいぞ。

次のエントリに続きあり。)