...in background: in pratica crei un API (privata, in effetti) su zzz.com che ti dice se un utente è loggato o meno... un po' come fa FB

P.es. potresti "centralizzare" la gestione utenti su zzz.com: quando devi ad esempio verificare il login su yyy.com tu chiami ad es. zzz.com/api/logged?user=USERNAME che verifica se l'utente è loggato e restituisce un codice di controllo (true/false + eventuali codici di sicurezza)