Infelizmente, a autenticação básica não reconhece a sessão de nenhuma maneira. Do ponto de vista do servidor da Web, eles são realmente obrigados a se autenticar novamente a cada solicitação.
No entanto, todos os navegadores armazenam em cache as credenciais usadas para uma conexão de autenticação básica, para que você não precise inserir novamente as credenciais de todos os recursos carregados do servidor. O problema que isso cria na sua situação é que não há como 'expirar' esses dados do navegador do cliente; mantém o tempo que quiser.
Para implementar o tempo limite da sessão, você pode estar se afastando da autenticação básica e em direção a um aplicativo com reconhecimento de sessão.