我无法对此进行测试,但是我很确定自己是正确的。
Reviewer是User上的based,并且不允许任何人find所有用户。
在您的情况下,您在拥有令牌的意义上得到了授权。 这将为您提供$authenticated角色,如果您已经为这些事情创建了$owner角色,则为您。
如果您的下一个问题是“ 我可以允许$authenticated或$everyone授予find所有用户/审阅者吗?”,请参见this问题。
详细信息
通过查看Review model's ACLs
,您可以看到访问控制的区别
看看User's ACLs
请注意,用户模型经常使用$owner角色(指示您必须是该用户),并且不允许find,findById仅允许$owner