Si las dos aplicaciones estan en el mismo servidor o dominio las podrías compartir, especificando que las cookies sean "de dominio" y no solo para tu aplicacion. Sin embargo eso implica que cualquier aplicacion en el dominio las podria leer y teniendo en cuenta que son un usuario/password....

Si las dos aplicaciones estan en el mismo servidor de aplicaciones, algunos servidores te permiten que compartan la misma sesion de usuario (creo que el Tomcat lo permite, aunque no lo he hecho nunca y no se como se configura). Y si, mantener los datos en sesion ocupa memoria, pero a no ser que tengas un buen monton de usuarios, guardar parejas de usuario/pass no te debería preocupar en principio.

No es por desanimarte ;). Pero el "single sign-on" es un tema complejo de realizar de forma segura, asi que ánimo.

Suerte!