Что буржуи там придумали ?
Собственно Raymond Camden, неожиданно увидел проблему в контроле продолжительности сессий в ajax приложениях и тут же предложил такой вариант:
Надо взять и пинговать сервер на предмет, сколько времени осталось до конца сессии, а затем надо высветить окошко, мол, сессия закончилась, вводи пароль снова.
Эта страница полностью описывает предыдущий абзац. в принципе если надо ограничить сессию строго по времени, конечно, так оно и нужно. А вообще есть полно-извращщенские сайты, которые устанавливают временной интервал в минуту. Например столь нашумевший сервис nonoh net в последнее время, кошмар на палочке, вылетает не успев войти. Поэтому я как-то не очень уважаю ограничение по времени, уж лучше ограничивать по сессии и не ставить себе палки в колеса.