OpenID标识url是敏感信息吗?

在我看来,这应该被视为秘密。以纯文本的形式存储在DB中是安全的,但我不会到处显示人们的OpenID供任何人查看。原因有很多,有些是:

• 没必要
• 它(加上密码)是很多门的钥匙;因此,它看起来相当多汁的攻击者

但是,它保持私有并不重要,因此对它进行散列(和salt/etc)的额外工作其实并不必要。它只是创造了另一个地方来保持一点复杂性,以及一个可能出错的领域。也就是说,如果我亲眼所见,我不会真的为此感到不安。

当然,我认为将OpenID视为公共信息是错误的。

OpenID基本上是登录的用户名部分。你不需要像对待任何其他用户ID那样对待它。