为什么任何人都可以在sails.js blueprint rest api中放置/发布/访问任何用户而不进行身份验证？

我已经使用sails.js几天了，我开始创建我的用户模型和restapi。我还在应用程序中实现了Passport，以便对用户进行身份验证。我在处理我的请求，注意到我可以对其他用户的数据做任何我想做的事情，即使我是以其他用户的身份登录的，也不需要提供密码（只是id）。似乎任何人都可以在未经许可的情况下侵入并删除所有用户数据。这是不是故意从BlueprintAPI中漏掉了，我是否错过了一些刚刚掠过我脑海的大话题？是否需要添加其他更改权限的功能？如果我需要发布任何代码以提供帮助，请进行注释。

默认情况下，蓝图和路线不受保护，为什么要这样做？您可以使用策略（例如

{
  ProfileController: {
    // Apply 'isLoggedIn' by default to all actions that are NOT specified below
    '*': 'isLoggedIn',
    // If an action is explicitly listed, its policy list will override the default list.
    // So, we have to list 'isLoggedIn' again for the 'edit' action if we want it to be applied.
    edit: ['isAdmin', 'isLoggedIn']
  }
}