La tua preoccupazione è giustificata, questo comportamento non dovrebbe essere permesso. Citando pagina della guida di myopenid :
OpenID is a decentralized identity system. An OpenID identity is just a URL. All OpenID does is provide a way to prove that you own a URL (identity).
Qualsiasi informazione aggiuntiva associata a quell'URL non è [necessariamente] attendibile, a meno che anche il provider OpenID sia autorevole a tali informazioni (ad esempio, Google è un provider OpenID e un indirizzo e-mail fornitore, quindi quando Google dice "il proprietario di questo URL [google] è anche il proprietario di questo account GMail" puoi fidarti di esso). Persino quei siti che adottano misure aggiuntive per convalidare gli indirizzi e-mail degli utenti non sono ancora autorevoli e la validazione dimostra che l'utente ha controllato l'indirizzo al momento della convalida (ad esempio, l'e-mail potrebbe essere cambiata, se si tratta di una e-mail aziendale, ad esempio, o se l'utente potrebbe essersi registrato con una e-mail condivisa, ecc.)
Il comportamento corretto potrebbe essere:
- Registrare due account distinti con lo stesso indirizzo e-mail;
- Rifiuta la creazione del secondo account (se per qualsiasi motivo l'indirizzo e-mail deve essere univoco);
- Offri a link / unione entrambi gli account, richiedendo che l'utente effettui l'autenticazione di nuovo con il primo account, dimostrando così di possedere entrambi gli URL (le informazioni associate sono irrilevanti ).