API si môžeš implementovať, aké len chceš. Ak by som si mal vybrať najjednoduchšie riešenie, tak by som si zvolil JSON, pomocou curl by som sťahoval obsah (alebo pomocou fsockopen, ak by nebol nainštalovaný curl).

Na prvom serveri by som ukladal do databázy niekde k používateľovi token, ktorého časová platnosť by bola obmedzená. Token by sa prenášal v URL adrese. Na druhom serveri by som podľa toho tokena vyhľadal používateľa a sprístupnil jeho dáta.

Ak by som si mal vybrať najsofistikovanejšie riešenie, tak by som si prečítal niečo o protokole OAuth, ale to je kanón na vrabce.

Edit: Ak nie sú tie dáta naviazané na používateľa, ale naozaj na session, tak ten token nebudeš ukladať k používateľovi, ale do nejakej ďalšej tabuľky, do ktorej uložíš aj tie dáta, ktoré potrebuješ poskytnúť.

Edit2: "Dalo by sa to v krátkosti popísať ako prihlasovanie cez inú doménu." => OAuth