Ciche wymazywanie uniwersalnego profilu użytkownika

Stoisz na brukowanej uliczce w Trastevere o zmierzchu, czekając na lokalnego przewodnika, który poprowadzi Cię przez „ukryte warsztaty robienia makaronu” – Atrakcję zarezerwowaną godzinę temu. Twój telefon wibruje. Powiadomienie zaprasza Cię do czatu grupowego z czterema innymi podróżnikami. Stukasz w imię — nazwijmy go Marcus — i pojawia się profil. Ale co ciekawe, nie jest to ten Marcus, którego mogłeś widzieć pięć lat temu. Nie ma listy jego ostatnich dwudziestu wynajmów wakacyjnych, żadnych linków do jego mediów społecznościowych ani możliwości śledzenia jego cyfrowego śladu w pozostałej części platformy. Widzisz jego imię, przyjazne zdjęcie i małą odznakę wskazującą, że on również uczestniczy w dzisiejszej kolacji.

Ta mała, pozornie nieistotna interakcja jest wynikiem ogromnej, wieloletniej przebudowy architektury w Airbnb. Przez lata domyślnym ustawieniem internetu było „więcej znaczy więcej”. Jeśli miałeś profil, był on globalnym, statycznym bytem — cyfrowym paszportem, który pokazywałeś przy każdej bramce. Jednak w miarę jak wchodzimy głębiej w rok 2026, branża po cichu wycofuje się z tego modelu. Niedawne wdrożenie przez Airbnb modelu tożsamości kontekstowej (context-aware identity) reprezentuje głęboką zmianę w sposobie, w jaki inżynierowie oprogramowania myślą o tym, kim jesteś i, co ważniejsze, kto ma prawo Cię znać.

Duch w architekturze

Historycznie większość platform internetowych budowano w oparciu o monolityczną koncepcję tożsamości. W tym tradycyjnym podejściu użytkownik jest pojedynczym wierszem w tabeli bazy danych. Niezależnie od tego, czy rezerwowałeś zamek w Szkocji, czy lekcję surfingu w Malibu, system pobierał dane z tego samego wiersza. Było to wydajne dla programistów, ale coraz bardziej uciążliwe w świecie wymagającym niuansów w zakresie prywatności. Dlaczego osoba ucząca Cię pieczenia chleba na zakwasie w Londynie miałaby mieć dostęp do tych samych danych profilowych, co gospodarz, u którego zatrzymałeś się w Tokio trzy lata temu?

Patrząc z perspektywy całej branży, ten model „globalnego profilu” stał się formą długu technicznego — bałaganem w szafie, którą firmy wypychały funkcjami, aż drzwi przestały się domykać. Gdy Airbnb rozszerzyło funkcje społecznościowe w ramach Atrakcji (Experiences), ryzyko związane z tą ujednoliconą tożsamością stało się jasne. Jeśli uczestnicy wspólnej aktywności mogą widzieć pełną historię innych osób, platforma nieumyślnie tworzy globalny graf społecznościowy, na który użytkownicy nigdy się jawnie nie zapisali. Rozwiązaniem nie była tylko aktualizacja interfejsu; było to całkowite przedefiniowanie podstawowego projektu.

Tożsamość zakresowa: Podejście pokój po pokoju

Z technicznego punktu widzenia Airbnb zastąpiło uniwersalny profil czymś, co inżynierowie nazywają „tożsamościami zakresowymi” (scoped identities). Wyobraź sobie swoje cyfrowe „ja” nie jako pojedynczy paszport, ale jako pęk wyspecjalizowanych kluczy. Jeden klucz otwiera drzwi do lekcji robienia makaronu; inny otwiera drzwi do wynajmu apartamentu. Osoba trzymająca klucz do makaronu nie widzi tego, co znajduje się za drzwiami apartamentu.

„Pod maską” zarządza się tym poprzez tworzenie wielu profili specyficznych dla kontekstu, powiązanych z poszczególnymi interakcjami. Kiedy dołączasz do aktywności grupowej, system generuje tymczasową, ograniczoną wersję Twojej tożsamości, która istnieje tylko w tym konkretnym kontekście. Po zakończeniu wydarzenia lub po opuszczeniu grupy ta konkretna widoczność znika. Jest to pragmatyczna odpowiedź na zmęczenie „wszechobecnym śledzeniem”, które definiowało ostatnią dekadę korzystania z sieci. Izolując grafy społecznościowe, Airbnb zapewnia, że Twoja interakcja z grupą nieznajomych w parku nie przenika do Twojego szerszego życia na platformie.

Himeji: Niewidzialny odźwierny

Jak serwer faktycznie decyduje, w ciągu milisekund, co Marcus może o Tobie zobaczyć? Najtrudniejszą pracę wykonuje Himeji, wewnętrzny system autoryzacji Airbnb. Zamiast polegać na statycznych atrybutach (takich jak „Czy ta osoba jest znajomym?”), Himeji stosuje kontrolę dostępu opartą na relacjach (ReBAC) w czasie rzeczywistym.

Pomyśl o Himeji jak o kelnerze w ekskluzywnej restauracji. Nie wchodzisz po prostu do kuchni i nie bierzesz talerza; mówisz kelnerowi, czego chcesz, a kelner sprawdza zasady kuchni przed przyniesieniem danych do Twojego stolika. W tym przypadku „zasady” zależą od kontekstu. Himeji pyta: „Czy tych dwoje użytkowników współdzieli obecnie wspólną Atrakcję?”. Jeśli odpowiedź brzmi tak, serwuje dane profilowe istotne dla tej Atrakcji. Jeśli odpowiedź brzmi nie, dane pozostają niejawne. Jest to solidny sposób na wymuszenie prywatności, ponieważ ochrona nie jest tylko warstwą farby na interfejsie; jest ona wbudowana w same rury, którymi płyną dane.

Wielka migracja kodu

Przeniesienie całej platformy na ten model przypomina mniej aktualizację oprogramowania, a bardziej remont domu, w którym trzeba wymienić każdą rurę, podczas gdy rodzina nadal w nim mieszka. Aby to wdrożyć, zespół inżynierów Airbnb musiał przeprowadzić masową migrację w całym kodzie źródłowym. Musieli wytropić każdy przypadek użycia „User ID” i ustalić, czy był on używany do logiki wewnętrznej, czy do ekspozycji zewnętrznej.

Aby zarządzać tym na dużą skalę, zespół wykorzystał narzędzia do refaktoryzacji wspomagane przez AI. Narzędzia te działały jak zaawansowane wykrywacze metali, skanując miliony linii kodu w celu znalezienia potencjalnych miejsc dla nowego modelu tożsamości. Proces ten jednak odbywał się z udziałem człowieka (human-in-the-loop). Inżynierowie musieli ręcznie sprawdzać sugestie AI, aby upewnić się, że logika biznesowa — „przepis”, dzięki któremu aplikacja działa — nie została zepsuta przez jeden błędny składnik. Podkreśla to rosnący trend w tworzeniu oprogramowania: wykorzystanie AI nie do zastąpienia architekta, ale do obsługi żmudnej pracy polegającej na zrywaniu starej tapety, aby architekt mógł skupić się na nowym projekcie.

Paradoksy sieci społecznościowej stawiającej na prywatność

Istnieje pewna ironia w budowaniu bardziej złożonych systemów tylko po to, by pokazywać mniej informacji. Tradycyjnie funkcje społecznościowe projektowano tak, aby maksymalizować „bezproblemowe” udostępnianie. Mówiono nam, że więcej połączeń to zawsze lepiej. Ale w praktyce nauczyliśmy się, że cyfrowe tarcie może być funkcją, a nie błędem. Poprzez celową fragmentację doświadczenia użytkownika, Airbnb przyznaje, że prawdziwy komfort w przestrzeni cyfrowej wynika z dokładnej wiedzy o tym, gdzie Twoje dane się zaczynają, a gdzie kończą.

Z punktu widzenia programisty ten krok jest odrzuceniem filozofii „zamkniętego ogrodu” (walled garden), która dąży do uwięzienia użytkowników w jednej, wszechogarniającej tożsamości. Zamiast tego zmierza w stronę bardziej odpornej, modułowej sieci. Uznaje, że jesteśmy różnymi ludźmi w różnych ustawieniach — to uświadomienie sobie faktu, z którym platformy społecznościowe, takie jak Facebook i LinkedIn, zmagały się przez lata, próbując wtłoczyć nasze życie zawodowe i osobiste do jednego kanału wiadomości.

Odzyskiwanie kontekstu

Ostatecznie zwrot w stronę tożsamości kontekstowej jest zwycięstwem użytkownika, nawet jeśli nigdy nie zobaczysz o tym komunikatu prasowego. To ciche ulepszenie, które sprawia, że cyfrowy świat wydaje się nieco bardziej podobny do fizycznego. Kiedy idziesz do kawiarni, barista zna Twoje zamówienie, ale nie zna Twojego adresu domowego ani tego, z kim umawiałeś się na studiach. Dlaczego nasze aplikacje miałyby być inne?

Kiedy siadasz do jedzenia makaronu w Rzymie, rozmawiając z Marcusem o proporcjach mąki do jajek, możesz to robić ze świadomością, że Twój cyfrowy ślad nie ciągnie się za Tobą jak ciężki cień. Następnym razem, gdy będziesz korzystać z dużej aplikacji, zwróć uwagę na to, czego brakuje. Zauważ momenty, w których nie jesteś proszony o połączenie konta lub udostępnienie kontaktów. W tych lukach znajdziesz pracę inżynierów, którzy zrozumieli, że najbardziej płynne doświadczenia to często te, które wiedzą, kiedy zostawić Cię w spokoju.

Źródła:

• Airbnb Engineering & Data Science Blog: "Building Himeji: A Scalable Authorization Service."
• Joy Jing, Technical Lead at Airbnb: Public technical retrospectives on identity migration (2024-2025).
• Zanzibar: Google’s Consistent, Global Authorization System (Whitepaper basis for ReBAC systems).
• Architectural patterns in Relationship-Based Access Control (Open-source documentation and industry standards).