La forma regular es que guardes el código junto con el email en una tabla para comprobarlo con fecha de creación para que puedas expirar la clave despues de cierto tiempo. nunca he tenido que compartir la session.