ACL пользователя (и большинство acls) работают на DENY * и добавляют исключения для того, что необходимо.Если вы не хотите расширять модель по умолчанию, вы можете использовать.
'use strict';
var loopback = require('loopback');
var boot = require('loopback-boot');
var app = module.exports = loopback();
app.start = function() {
// start the web server
return app.listen(function() {
app.emit('started');
var baseUrl = app.get('url').replace(/\/$/, '');
console.log('Web server listening at: %s', baseUrl);
// Allow GET Users
const User = app.models.User;
User.settings.acls.push(
{
'principalType': 'ROLE',
'property': 'find',
'principalId': '$everyone',
'permission': 'ALLOW'
}
);
if (app.get('loopback-component-explorer')) {
var explorerPath = app.get('loopback-component-explorer').mountPath;
console.log('Browse your REST API at %s%s', baseUrl, explorerPath);
}
});
};
// Bootstrap the application, configure models, datasources and middleware.
// Sub-apps like REST API are mounted via boot scripts.
boot(app, __dirname, function(err) {
if (err) throw err;
// start the server if `$ node server.js`
if (require.main === module)
app.start();
});