To zależy.
Walidacja ról biznesowych powinna mieć miejsce w modelu, walidacja żądania w kontrolerze. Czyli np. w kontrolerze sprawdzasz, czy hasło znajduje się w request body i jest stringiem, a w modelu sprawdzasz, czy ma odpowiednią długość, zawiera cyfry itp.