Estoy buscando sesiones de dominios cruzados. Estas son sesiones que se comparten entre dos dominios como google.com y spotify.com. No busco información sobre las sesiones de dominios cruzados entre subdominios, ya que pueden compartirse ampliando el alcance de las cookies que llevan el identificador de sesión. play.google.com y mail.google.com pueden compartir fácilmente la misma sesión y esta sesión compartida no requiere un conjunto complejo de redirecciones y / o llamadas ajax.
Me gustaría saber si existe un estándar formal para configurar una sesión de este tipo entre dominios. Parece como si cada marco tuviera su propio mecanismo, muchos de ellos usando redirecciones, otros usando JavaScript. Como parte de la investigación en este dominio, estoy buscando cualquier cosa que pueda verse como un estándar ampliamente utilizado para lograr estas sesiones de dominios cruzados. También la información sobre estándares informales (mecanismos ampliamente utilizados) es muy apreciada.
Edición basada en la respuesta de Neil: Ahora me doy cuenta de que efectivamente he cometido algunos errores en mi razonamiento. No es una sesión de dominio cruzado que se requiere para el SSO, pero en realidad es un estado de dominio cruzado. Corríjame si me equivoco, pero, si un servidor puede proporcionar una lista blanca de dominios para los cuales una cookie es válida, el SSO sería mucho más sencillo sin que sea un problema de seguridad. Solo creará una cookie con toda la información de autenticación (uid, roles, idp, etc.) y hará que esta cookie se comparta entre todos los dominios que desee incluir en el ámbito de SSO. Debe crear un mecanismo que verifique con los otros dominios en la lista blanca, si permiten que el primer dominio establezca cookies para este dominio.