Проект CAS передает «билет» от сервера входа в приложение-потребитель в качестве параметра запроса url, а приложение-потребитель отправляет запрос обратного канала обратно на сервер входа для проверки подлинность билета. Это исключает необходимость использования файлов cookie и, следовательно, работает в разных доменах, хотя и немного «болтливо»
Еще одним, возможно, более надежным решением является использование продукта на основе SAML, который является отраслевым стандартом для междоменного единого входа. Существует пара продуктов с открытым исходным кодом, которые используют SAML, а сам CAS имеет расширение SAML, однако их обычно довольно сложно настроить. Cloudseal также основан на SAML и намного проще в использовании. Сама платформа Cloudseal поставляется как управляемая служба, но все клиентские библиотеки имеют открытый исходный код
Конечно, со всеми этими решениями вы просто передаете контекст безопасности с одного сервера на другой, приложение-потребитель, несомненно, создаст свой собственный локальный сеанс, поэтому вам потребуется использовать перезапись URL вместо файлов cookie
Отказ от ответственности: я работаю на Cloudseal:)