Можно конечно. Изначально в вопросе не было речи именно про коммерческую инфу, а было про конфиденциальные сведения, к которым разные категории относятся, те же пдн по закону и без режима кт

Там в первичном вопросе было следующее «Может ли документация компании быть конфиденциальной информацией» - ответ нет.

Где вы там ПДн увидели и прочее - вопрос

Привлечь можно за "разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;". Если внутренними документами вы всё это назовёте конфединциальной информации и соответствующим юридически правильным образом возложите ответственность на работников - есть шанс не проиграть в суде дело проэнезаконность увольнения.

Я другой вопрос видел, с которого вчера диспут начался

А вот зачем в принципе аутентификационные токены в мобильных приложениях имеют время жизни отличное от бесконечности? Это чтобы, блядь, что? Я единственный сценарий вижу "failsafe для деаутентификации тех, кого мы забыли удалить каким-то другим способом" и для большинства он нахер не сдался.

Чтобы снизить вероятность account takeover через эти самые токены

Это же опционально, гдето и вечные могут быть. Наверняка ограничивают срок во имя неявной компрометации

Owasp рекомендует ставить время жизни не более 30 дней

Это вроде не для токенов

А для чего?

и какой сценарий этой компрометации, что нужно всем мозги выносить?

какой реалистичный сценарий компрометации токена? от этого для вас, Козлов, pkce придуман, а не доеблиый костыль с выкидыванием юзера

Для сессий

А мы же про это и говорим

Сессионный авторизационный токен

Или нет?

Не, сессия это например надо будет разлачивать пином, а само приложение как было авторизовано так и останется

Ну не, различать пином это в принципе хорошо после  сворачивания приложения.

Но делать сессию на сессию это уже такое