Reconozco que la autorización sensible al contexto para las aplicaciones es un buen control de seguridad, sin embargo, actualmente solo puedo pensar en la ubicación como un ejemplo de un contexto sensible.
No considero que el tiempo sea un contexto sensible, ¿hay otros ejemplos?
En este caso, sensible al contexto solo significa que el contexto se tiene en cuenta. No tiene nada que ver con que ubicación sea un atributo "sensativo" o "secreto".
Hay muchos contextos potenciales que pueden usarse para ayudar en la autorización.
La ubicación y el tiempo son, con mucho, los más comunes.
E.X.
¿La solicitud proviene de la red corporativa?
¿El usuario tiene VPN?
¿Cuál es la ubicación GPS del usuario?
¿Es este el horario comercial normal?
¿Cuántas de estas solicitudes se han realizado en las últimas N horas?
La autorización de contexto generalmente también incluye roles, que pueden implementarse utilizando RBAC.
Lea otras preguntas en las etiquetas authorization owasp asvs