OpenIdってこんな感じ?

セキュリティ ネット
  1. Consumer(以下C)のページをリクエス
  2. Cの認証が必要な場合、Cがログインページを表示
  3. CにOpenIdを送信
  4. CはOpenIdの発行元を探し、見つかった発行元(OP)に必要情報をリダイレクト
  5. OPはCから受け取った情報を元に認証処理(帰る場所=Cの場所は覚えておく)
  6. OPで認証OKならCに必要情報をリダイレクト
  7. CはOPから受け取った情報を信じてユーザー認証完了。

こんな感じ?
OPからC、CからOPのデータの受け渡しはlocationヘッダーに書いてある。OPとCの「直接のやりとり」はない。