还是关于目录服务单点登陆

理想的，当然是 Kerberos.
我拿 Windows 2K Server AD Service 来说:

Kerberos 有一个 Ticket Service(就是 AD), 当用户登录系统时(也就是登录进入 Windows 2K Domain时), TS 会向用户发一张 Ticket(这中间有一些复杂的握手过程，你可以自己找 Kerberos 的资料来了解),然后，如果User要访问一个 Domain 内的应用时，假设是一个 WEB 应用。 WEB 服务器向 User 使用的浏览器(假设是 IE)发一个握手请求，表明需要 Kerberos ticket 才能进入，User IE 就调用 Windows 内核模块，将 ticket 传递到远端服务器上，你不用担心保密问题，因为 Kerberos 在这方面做得非常优秀(永不在网络上传密码).Ticket送到 WEB Server 后，WEB Server 会用它从 Kerveros Server 获得的一个Session钥匙来打开这个 Ticket 包，然后验证，如果打得开，那就是合法用户，然后就可以进入系统，否则就不让进入。

Kerberos 的实际验证过程非常复杂，你可以自己去找些资料来看。它也可能是最好的 OSS 实现方案。所以 Windows 2K 开始全面支持 Kerberos 5.
=======================================================
现在的 LDAP Server 一般都支持 Kerberos.
=======================================================
一般WEB实现 OSS 的做法我想信你也听说过，就是使用 Global Session.
一般也是自己实现的。你谈到的 Session 过期只是分系统的 Session 过期，而实际只要 Global Session 不过期，系统就应该认为该用户没有过期。