你正站在黄昏时分特拉斯提弗列(Trastevere)的鹅卵石街道上,等待着当地向导带你参加一小时前预订的“隐藏意面制作”体验。你的手机响了。一条通知邀请你进入一个包含其他四名旅行者的群聊。你点击了一个名字——我们姑且称他为马库斯(Marcus)——随后弹出了一个个人资料。但奇怪的是,这并不是你五年前可能看到的那个马库斯。这里没有他过去二十次度假租赁的列表,没有指向他社交媒体的链接,也无法在平台的其他部分追踪他的数字足迹。你只看到了他的名字、一张友好的照片,以及一个显示他也将参加今晚晚餐的小徽章。
这一微小且看似微不足道的互动,是 Airbnb 历时多年、大规模架构重组的结果。多年来,互联网的默认设置一直是“越多越好”。如果你有一个个人资料,它就是一个全局的、静态的实体——一个你在每个关口都要出示的数字护照。但随着我们步入 2026 年,整个行业正悄然从这一模式中撤退。Airbnb 最近实施的情境感知身份模型(context-aware identity model)代表了软件工程师对“你是谁”以及更重要的“谁被允许了解你”这一思考方式的深刻转变。
架构中的“幽灵”
从历史上看,大多数网络平台都是建立在单一的身份概念之上的。在这种传统方法中,用户只是数据库表中的一行。无论你是在苏格兰预订城堡,还是在马里布学习冲浪课程,系统都会从同一行提取数据。这对开发人员来说效率很高,但对于一个对隐私要求日益细腻的世界来说,却显得越来越笨拙。为什么要让在伦敦教你烘焙酸种面包的人,能访问与三年前你在东京入住的房东相同的个人资料数据呢?
放大到行业层面,这种“全局档案”模式已成为一种技术债——就像一个杂乱的衣橱,公司不断往里塞功能,直到门都关不上。随着 Airbnb 在“体验”中扩展其社交功能,这种统一身份的风险变得显而易见。如果共享活动的参与者能看到彼此的完整历史记录,平台就会在无意中创建一个用户从未明确同意加入的全局社交图谱。解决方案不仅仅是 UI 更新,而是对底层蓝图的彻底重构。
作用域身份:逐室而居的方法
从技术上讲,Airbnb 已将通用档案替换为工程师所说的“作用域身份”(scoped identities)。想象你的数字自我不是一本单一的护照,而是一串专用钥匙。一把钥匙打开意面制作课的大门;另一把钥匙打开公寓租赁的大门。持有意面钥匙的人看不到公寓门后的情况。
在底层,这是通过创建与个人互动绑定的多个特定情境的档案来管理的。当你加入一个小组活动时,系统会生成一个临时的、受限版本的身份,该身份仅存在于该特定情境中。一旦活动结束,或者你离开了该小组,该特定的可见性就会消失。这是对过去十年定义网络使用的“无处不在的追踪”疲劳的一种务实回应。通过隔离社交图谱,Airbnb 确保了你在公园里与一群陌生人的互动不会泄露到你在该平台更广泛的生活中。
Himeji:隐形的守门人
服务器究竟是如何在毫秒内决定马库斯被允许看到你的哪些信息的?繁重的工作由 Himeji 完成,这是 Airbnb 的内部授权框架。Himeji 不依赖静态属性(如“此人是朋友吗?”),而是在运行时采用基于关系的访问控制(ReBAC)。
把 Himeji 想象成高级餐厅的服务员。你不能直接走进厨房拿盘子;你告诉服务员你想要什么,服务员在将数据带回你的桌子之前会检查厨房的规则。在这种情况下,“规则”是依赖于情境的。Himeji 会问:“这两个用户当前是否共享同一个‘体验’?”如果答案是肯定的,它就会提供与该体验相关的个人资料数据。如果答案是否定的,数据则保持不透明。这是一种加强隐私的稳健方法,因为这种保护不仅仅是界面上的一层涂料,它被植入了移动数据的管道中。
伟大的代码迁移
将整个平台迁移到这种模式与其说是软件更新,不如说是一次房屋翻修,你必须在家人仍住在里面时更换每一根水管。为了实现这一目标,Airbnb 的工程团队必须在整个代码库中进行大规模迁移。他们必须找出每一个使用“用户 ID”的实例,并确定它是用于内部逻辑还是外部暴露。
为了大规模管理这一过程,团队利用了 AI 辅助的重构工具。这些工具就像高科技金属探测器,扫描数百万行代码,以寻找新身份候选位置。然而,这一过程仍然保持“人机协同”。工程师必须手动审查 AI 的建议,以确保业务逻辑——即让应用程序运行的“配方”——不会因为一个错误的配料而毁掉。这突显了软件开发中的一个日益增长的趋势:使用 AI 不是为了取代建筑师,而是为了处理铲除旧壁纸这种乏味的工作,以便建筑师可以专注于新设计。
隐私优先社交网络的悖论
为了显示更少的信息而构建更复杂的系统,这确实带有一种讽刺意味。传统上,社交功能旨在最大限度地实现“无摩擦”分享。我们被告知,更多的连接总是更好的。但在实践中,我们了解到数字摩擦可以是一种功能,而不是漏洞。通过有意识地碎片化用户体验,Airbnb 承认了数字空间中真正的舒适感来自于确切地知道你的数据从哪里开始、到哪里结束。
从开发者的角度来看,这一举措是对寻求将用户困在单一、包罗万象身份中的“围墙花园”哲学的拒绝。相反,它正向一个更具韧性、模块化的网络迈进。它承认我们在不同的环境中是不同的人——Facebook 和 LinkedIn 等社交媒体平台多年来一直难以实现这一认知,因为它们试图将我们的职业和个人生活强行塞进同一个信息流中。
夺回情境
最终,向情境感知身份的转变是用户的胜利,即使你永远不会看到相关的官方新闻稿。这是一种无声的改进,让数字世界感觉更像物理世界。当你去咖啡店时,咖啡师知道你点的饮料,但他们不知道你的家庭住址或你在大学里和谁约会。为什么我们的应用程序要有所不同呢?
当你坐在罗马吃着意面,与马库斯聊天讨论面粉与鸡蛋的比例时,你可以放心地知道,你的数字足迹不会像沉重的阴影一样跟在身后。下次你使用大型应用程序时,请留意那些“缺失”的东西。注意那些你没有被要求关联账户或共享联系人的时刻。在这些间隙中,你会发现工程师们的努力,他们已经意识到,最无缝的体验往往是那些知道何时不去打扰你的体验。
来源:
- Airbnb Engineering & Data Science Blog: "Building Himeji: A Scalable Authorization Service."
- Joy Jing, Technical Lead at Airbnb: Public technical retrospectives on identity migration (2024-2025).
- Zanzibar: Google’s Consistent, Global Authorization System (ReBAC 系统的白皮书基础).
- Architectural patterns in Relationship-Based Access Control (开源文档与行业标准).
