在ASP.NET Core 3.1 Web API中，可以通过以下方法来处理敏感数据保护：

1. 针对返回的模型类，可以使用[JsonIgnore]或[IgnoreDataMember]属性来标记敏感数据。

例如，下面的代码演示了如何保护包含敏感数据的模型：

public class UserModel
{
    public int Id { get; set; }
    public string Email { get; set; }
    [JsonIgnore]
    public string Password { get; set; }
}

上述代码中，Password属性用[JsonIgnore]标记，以隐藏它的返回。这将在从API返回数据时排除密码字段。

2. 可以使用匿名类型或视图模型来筛选敏感信息。

例如，以下代码演示了如何使用匿名类型来过滤敏感信息：

[HttpGet("{id}")]
public ActionResult GetUser(int id)
{
    UserModel user = _userService.GetUser(id);

    var userData = new
    {
        user.Id,
        user.Email
    };

    return Ok(userData);
}

上述代码中，使用匿名类型来定义返回数据，该类型排除了敏感的Password属性。

3. 可以使用DTO或ViewModel来封装模型，以便在返回中显示所需的信息。

例如，以下代码演示了如何使用DTO来封装UserModel并过滤敏感信息：

public class UserDTO
{
    public int Id { get; set; }
    public string Email { get; set; }
}

[HttpGet("{id}")]
public ActionResult GetUser(int id)
{
    UserModel user = _userService.GetUser(id);

    var userDto = new UserDTO
    {
        Id = user.Id,
        Email = user.Email
    };

    return Ok(userDto);
}

上述代码中，创建了一个UserDTO类，作为UserModel的数据传输对象，并在返回的API响应中