Direi no .
Ma per un motivo diverso da quello che @rvcoutinho ha detto (anche se cita wikipedia che mi fa sentire male nel mio modo di pensare)
Direi che qualsiasi problema di sicurezza rilevante dovrebbe essere condiviso dal Modello dato alla vista (a seconda del numero di combinazioni che si potrebbe desiderare di utilizzare un ViewModel per questo motivo), in quanto si potrebbero avere interruttori per i bit di sicurezza.
Ciò consente la convalida della sicurezza a due livelli: sul livello dell'interfaccia utente, quindi, un postback viene sovvertito per il caso normale, così come a livello server per i cattivi attori in cui il modello mantiene le conoscenze sulla sicurezza all'interno di se stesso le informazioni sul modello che immediatamente lo lanciano.
La sicurezza a due livelli come questa è lo standard nel settore, e in questo modo la logica di sicurezza deve esistere solo in due punti, quindi è un vantaggio, non appena inserisci la logica di sicurezza nel controller, la stai mettendo lì, e nell'interfaccia utente e nel modello (il modello ne ha bisogno in quanto è l'ultima linea di difesa e particolarmente importante per qualsiasi utilizzo al di fuori di tale web-app MVC come un client desktop o qualsiasi strumento di gestione del server)