Sto esaminando le sessioni tra domini. Queste sono sessioni condivise tra due domini come google.com e spotify.com. Non cerco informazioni relative alle sessioni tra domini secondari tra domini secondari poiché possono essere condivise estendendo l'ambito dei cookie che portano l'identificativo di sessione. play.google.com e mail.google.com possono quindi condividere facilmente la stessa sessione e questa sessione di condivisione non richiede un reindirizzamento e / o chiamate ajax complesse.
Vorrei sapere se esiste uno standard formale nell'impostazione di una tale sessione interdominio. Sembra che ogni framework abbia il proprio meccanismo, molti usano reindirizzamenti, altri usano JavaScript. Come parte della ricerca in questo settore, sto cercando qualcosa che possa essere visto come uno standard ampiamente utilizzato per realizzare queste sessioni tra domini. Anche le informazioni relative agli standard informali (meccanismi ampiamente utilizzati) sono molto apprezzate.
Modifica basata sulla risposta di Neil: Mi rendo conto ora di aver fatto degli errori nel mio ragionamento. Non è una sessione interdominio richiesta per SSO ma in realtà uno stato interdominio. Correggere il mio se ho torto ma, se un server è in grado di fornire una whitelist di domini per i quali un cookie è valido, SSO diventerebbe molto più semplice senza che si tratti di un problema di sicurezza. Dovresti semplicemente creare un cookie con tutte le informazioni di autenticazione (uid, ruoli, idp, ecc.) E rendere questo cookie condiviso tra tutti i domini che desideri includere nella soluzione SSO. È necessario creare un meccanismo che controlli con gli altri domini nella whitelist, se consentono al primo dominio di impostare i cookie per questo dominio.