Per limitare una sessione a dieci minuti puoi fare così

$durata = 60*10; // 10 minuti
session_set_cookie_params($durata);

Per la prima domanda non so risponderti e non capisco perchè vorresti costringere l'utente a riautenticarsi se clicca indietro. Mi spiace. Sicuramente qualcuno ti saprà dare una soluzione.