Weź pod uwage to, co się stanie jak ktoś wyśle zły email do backendu, bo samodzielnie wyśle żądanie do API
Najlepiej robić to po obu stronach, klient robi podstawowe zabezpieczenia aby szybciej sprawdzić i nie wysyłać zbędnych żądań, a serwer już robi to główne sprawdzenie czy wszystko jest ok