用redis實現單點登錄是可行的。

首先，session的大部分實現都是通過cookie的，所以跨域session是不可能的。但跨域的認證還是可以有OAuth等實現方法，不太推薦OAuth項目。

其次，跨域有點難，但放在同一域下的不同項目是可以共享session的，CAS也不算復雜。可以上github搜一下redis-session這個項目，只有一個源代碼文件，它給出了redis下session的一種nodejs實現，就是設置redis的超時來模擬session的超時。

再次，跨域也是可以的，就是使用iframe，在登錄時，在多個域下同時寫cookie，注意瀏覽器差異。

綜上，完全可行。

單點登錄是要求客戶端保存用戶登錄的票據（ticket）的（簡化一點，也可以是會話id）

對于不同子域名下，是可以這么做的。通常cookie中，只保存session的標識（id），或者與sessionId一一對應的key。
在訪問重要的資源時（不同子域名下），可以要求用戶重新輸入一次登錄密碼，或者輸入其他用戶的安全碼。
可以使用 httponly 提高安全屬性，但也不能完全防止xss攻擊。