Задача: на базе протокола OpenId Connect реализовать единый сервис аутентификации для приложений, расположенных в разных доменах, с поддержкой технологии Single Sign-on для бесшовного перехода между приложениями (пока рассматриваются только web-приложения).
Суть проблемы: сервер аутентификации (openId provider) должен хранить у себя в активном состоянии все сессии (например, в БД), для того чтобы можно было выдавать AuthToken'ы (для перехода по SSO).
Как можно было бы реализовать переход по SSO без хранения сессии в активном состоянии?
Возможно на основе каких-то данных активировать сессию в момент перехода (как?)?

Может кто-то уже сталкивался с решением подобных вопросов?