Bezpieczeństwo OpenID [Google] Opcje

[kiler129]

Witajcie!
Przy okazji implementacji "Login with Facebook" postanowiłem, że za jednym zamachem dodam jeszce "Login with Google Account".
Po analizie dokumentacji oraz przykładów znalazłem kawałek kodu który pokazuje jasno i wyraźnie zasade działania.

[PHP] pobierz, plaintext 
<?php
 require_once("../config/init.php");
 if(!GOOGLE_LOGIN) die("Google OAuth is disabled!");
 try {
    $openid = new LightOpenID;
    if(!$openid->mode) {
        if(isset($_GET['login'])) {
            $openid->identity = 'https://www.google.com/accounts/o8/id';
			$openid->required = array('namePerson/first', 'namePerson/last', 'contact/email');
            header('Location: ' . $openid->authUrl());
        }
       echo '<a href="'.$_SERVER['PHP_SELF'].'?login">Login with Google</a>';
    } elseif($openid->mode == 'cancel') {
        echo 'User has canceled authentication!';
 
    } else {
		if($openid->validate())
		{			
			echo 'User <b>' . $openid->identity . '</b> has logged in.<br>';
 
			echo "<h3>User information</h3>";
 
			$identity = $openid->identity;
			$attributes = $openid->getAttributes();
			$email = $attributes['contact/email'];
			$first_name = $attributes['namePerson/first'];
			$last_name = $attributes['namePerson/last'];
 
			echo "mode: " . $openid->mode . "<br>";
			echo "identity: " . $identity . "<br>";
			echo "email: " . $email . "<br>";
			echo "first_name: " . $first_name . "<br>";
			echo "last_name: " . $last_name . "<br>";
		}
		else
		{
			echo 'User ' . $openid->identity . 'has not logged in.';
		}
    }
} catch(ErrorException $e) {
    echo $e->getMessage();
}
?>
[PHP] pobierz, plaintext 

Lekko zmodyfikowany kod ze strony http://4rapiddev.com/php/php-login-or-sign...ount-by-openid/

Wszystko działa jak należy ale martwi mnie samo pobieranie danych. Google w odpowiedzi kieruje użytkownika pod adres podobny do tego: (dla ułatwienia rozbiłem na linijki)

Kod

http://127.0.0.1/~grzegorz/flexiCMS/oauth/google.php?login
&openid.ns=http://specs.openid.net/auth/2.0
&openid.mode=id_res
&openid.op_endpoint=https://www.google.com/accounts/o8/ud
&openid.response_nonce=2012-01-05T10:23:....
&openid.return_to=http://127.0.0.1/~grzegorz/flexiCMS/oauth/google.php?login
&openid.assoc_handle=...
&openid.signed=op_endpoint,claimed_id,identity,return_to,response_nonce,assoc
_handle,ns.ext1,ext1.mode,ext1.type.namePerson_first,ext1.value.namePerson_first,
ext1.type.contact_email,ext1.value.contact_email,ext1.type.namePerson_last,ext1.v
alue.namePerson_last
&openid.sig=...
&openid.identity=https://www.google.com/accounts/o8/id?id=...
&openid.claimed_id=https://www.google.com/accounts/o8/id?id=...
&openid.ns.ext1=http://openid.net/srv/ax/1.0
&openid.ext1.mode=fetch_response
&openid.ext1.type.namePerson_first=http://axschema.org/namePerson/first
&openid.ext1.value.namePerson_first=Jan
&openid.ext1.type.contact_email=http://axschema.org/contact/email
&openid.ext1.value.contact_email=exampleMail@gmail.com
&openid.ext1.type.namePerson_last=http://axschema.org/namePerson/last
&openid.ext1.value.namePerson_last=Kowalski

Jak widać dane o które prosiłem (imie, naziwsko, mail) są dostarczone call-backiem. W przypadku facebook dostaje w odpowiedzi klucz którego używam do poberania bezpośrednio danych.
W przypadku przekazania ich url'em istnieje bardzo duże prawdopodobieństwo, że ktoś najzwyczajniej w świecie podrobi taki adres i zaloguje się do webaplikacji.
W adresi obecne są tekże rozmaite klucze jednakże nie doszukałem się czy mogę w jakiś sposób zweryfikować, czy owe rządanie rzeczywiście wygenerował serwer Google czy też ktoś podrobił adres.

Jakieś pomysły koledzy? (IMG:style_emoticons/default/smile.gif)