Ich denke, der Passwortabgleich gehört in die Client-Schnittstelle und sollte niemals auf den Server gelangen (DB-Layer ist bereits zu viel). Für die Benutzererfahrung ist es besser, keinen Server-Roundtrip zu haben, nur um dem Benutzer mitzuteilen, dass 2 Zeichenfolgen unterschiedlich sind.
Was den dünnen Controller, das fette Modell angeht ... all diese Silberkugeln da draußen sollten auf den Urheber zurückgeschossen werden. Keine Lösung ist in jeder Situation gut. Denken Sie jeden von ihnen in ihrem eigenen Kontext.
Wenn Sie die Idee des fetten Modells hierher bringen, verwenden Sie eine Funktion (Schema-Validierung) für einen völlig anderen Zweck (Passwortabgleich) und machen Ihre App von der Technologie abhängig, die Sie gerade verwenden. Eines Tages werden Sie die Technologie ändern wollen und ganz ohne Schema-Validierung zu etwas kommen ... und dann müssen Sie sich daran erinnern, dass ein Teil der Funktionalität Ihrer App darauf angewiesen ist. Und Sie müssen es zurück auf die Clientseite oder den Controller verschieben.
