Nakon logovanja, serijalizujes sesiju, ubacis je u bazu za tog korisnika, ubacis vreme logovanja, generisses neki random string, recimo 40 karaktera, redirektujes korisnika sa secure dela na tvoj domen, iz get-a ocitas taj random string, proveris da li je vreme manje od recimo 30 sekundi (probaj pa vidi, ako ne stize redirekcija za to vreme, povecaj vreme), kad 'sleti' na public deo ocitas iz baze sesiju na osnovu random kontrolnog stringa, ubacis vrednosti iz baze korisniku, i obrises kontrolni string iz baze.
Jedna od ideja...

Posto i jedan i drugi domen smestaju sesiju u isti folder na istom hosting,
da li je mozda jednostavnije resenje da shered ssl domen prosledi enkriptovani ID sesije GET metodom,
a da ga onda pablic domen dekriptuje i postavi za tekuci ID sesije?