评论发布成功以后得到的响应里面包含了 user 属性，里面是评论的作者，这个 user 里的值其实就是我们在存储评论的时候，给它提供的这个 user。

这个 user 是验证了用户身份以后在请求里添加的那个 user ，验证用户身份我们用了一个 jwt.strategy。

在这个策略里的 validate 方法里面，返回了要在请求里添加的 user 属性的值，就是用 findByName 查询出来的这个用户实体，返回这个实体之前，可以 delete 掉 entity 里的 password。

或者在定义 User 实体的时候，特别再处理一下实体里的 password 字段，打开 User 实体，找到 password，在它的 Column 里面，把 select 设置成 false。

这样默认查询用户实体的时候就不会再包含这个 password 字段的值了，如果需要它的值，要在查询里特别指定需要它，不然就在查询里不会包含这个字段的值。

测试

回到 Http 客户端，再发送一下这个评论请求，这回在得到的响应里面，user 属性里就不会再包含 password 字段的值了。