独自のOpenIDサーバーを実行する必要がありますか?
私の理解では、OpenIDは単一の信頼できるサービスであるOpenIDプロバイダーに依存しています。このサービスを自分のサーバーで実行する場合、完全に制御でき、自分自身(およびWebサービスを正しく構成して実行する能力)だけを信頼する必要があります。
これは、オンラインIDを管理する最も安全で効果的な方法でしょうか?
これはやり過ぎのようです。 OpenIDを提供するサイトは数多くあります。どんな側面が心配ですか?プロバイダー自体があなたになりすますかもしれないということですか?プロバイダーがハッキングされ、ユーザー/パスワードファイルがコピーおよび暗号化解除されている可能性がありますか?それらがあなたの不安であり、あなたがコントロールをとることによってそれらを和らげたいなら、あなたは確かに先へ進むことができます。サーバーが最高のプロバイダーよりも安全である可能性は低いですが、サーバーがあいまいであるため、ハッキングの攻撃を受けにくくなります。
もっと制御したい場合は、私がやったことをすることができます。私が所有する個人ドメインのサブドメインを使用して、myopenidをポイントします。そのため、myopenidが機能しなくなったり、問題が発生したり、悪を起こしたりした場合、openid URLを変更せずにプロバイダーを変更できます。
編集:OpenID委任と呼ばれます