Saya akan mengatakan tidak .
Tetapi untuk alasan yang berbeda dari @rvcoutinho berkata (meskipun dia mengutip wikipedia yang membuat saya merasa salah dalam pemikiran saya)
Saya akan mengatakan masalah keamanan yang relevan harus dibagikan oleh Model yang diberikan kepada tampilan (tergantung pada jumlah kombinasi Anda mungkin ingin menggunakan ViewModel untuk alasan ini), di mana Anda bisa memiliki sakelar untuk bit keamanan.
Hal ini memungkinkan validasi keamanan dua lapisan: pada lapisan UI sehingga postback ditumbangkan untuk kasus normal, serta pada lapisan server untuk aktor jahat di mana model mempertahankan pengetahuan keamanan di dalam dirinya sendiri sehingga pengontrol menyerahkan info ke model yang segera membuangnya.
Keamanan dua lapis seperti ini adalah standar dalam industri, dan cara ini memungkinkan logika keamanan Anda hanya perlu ada di dua tempat jadi itu bonus, segera setelah Anda memasukkan logika keamanan di controller Anda, Anda meletakkannya di sana, dan di UI dan dalam model (model membutuhkannya karena ini adalah garis pertahanan terakhir dan terutama penting untuk penggunaan di luar aplikasi web MVC seperti klien desktop atau alat manajemen server apa pun)