要保护Android和MVC.Net Core 3 Web应用之间的请求，可以使用基于令牌的身份验证方法。以下是一种可能的解决方案，包含了Android端和MVC.Net Core 3 Web应用端的代码示例。

Android端代码示例：

1. 使用Retrofit库发送HTTP请求，并在请求头中添加身份验证令牌。

// 创建Retrofit实例
Retrofit retrofit = new Retrofit.Builder()
    .baseUrl("https://your-web-app-url.com/")
    .addConverterFactory(GsonConverterFactory.create())
    .build();

// 创建API接口
ApiService apiService = retrofit.create(ApiService.class);

// 发送请求并添加身份验证令牌
Call call = apiService.getData("your-token");
call.enqueue(new Callback() {
    @Override
    public void onResponse(Call call, Response response) {
        // 处理响应
        if (response.isSuccessful()) {
            // 请求成功
        } else {
            // 请求失败
        }
    }

    @Override
    public void onFailure(Call call, Throwable t) {
        // 请求失败
    }
});

MVC.Net Core 3 Web应用端代码示例：

1. 在Startup.cs文件中配置身份验证和授权。

public void ConfigureServices(IServiceCollection services)
{
    // 配置身份验证服务
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidateLifetime = true,
                ValidateIssuerSigningKey = true,
                ValidIssuer = "your-issuer",
                ValidAudience = "your-audience",
                IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your-secret-key"))
            };
        });

    // 配置授权服务
    services.AddAuthorization();

    services.AddControllers();
}

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // ...

    // 启用身份验证
    app.UseAuthentication();

    // 启用授权
    app.UseAuthorization();

    // ...

    app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllers();
    });
}

2. 在控制器中使用[Authorize]特性来限制只允许授权用户访问。

[ApiController]
[Route("api/[controller]")]
public class DataController : ControllerBase
{
    [HttpGet]
    [Authorize]
    public IActionResult GetData()
    {
        // 处理请求
        return Ok("Data");
    }
}

这样，Android端发送的请求将携带身份验证令牌，并在MVC.Net Core 3 Web应用中进行验证和授权。只有经过身份验证和授权的请求才能成功访问受保护的接口。