Да, вы должны отправить и пароль, и пароль для подтверждения на сервер и подтвердить на сервере, что они совпадают.Это верно, даже если это избыточная проверка того, что делает клиент.При использовании общедоступного веб-API вся бизнес-логика должна быть подтверждена на стороне сервера.Вся проверка клиента должна рассматриваться как удобство для пользователя.
При разработке веб-API я считаю, что он помогает мыслить более широко, чем просто текущий клиент (который обычно является веб-интерфейсом). Что если вы напишете приложение для телефона, использующее тот же веб-API?Даже почтальон может выступать в роли клиента.Для всех клиентов вы хотите подтвердить, что введенные ими пароли совпадают.
Я посмотрел на AccountController по умолчанию, который генерируется для вас с помощью шаблона VS по умолчанию.Он имеет конечную точку Register, которая принимает RegisterViewModel, который имеет ОБА Пароль и поле ConfirmPassword.Пароли сравниваются и выдается ошибка, если они не совпадают.
Наконец, почти невозможно выиграть, если не пройти оба поля.Какая экономия?Одно поле, содержащее несколько символов и сравнение строк.
Передайте дополнительное значение.Всегда делайте проверку на стороне сервера.Не используйте там ярлыки, особенно с безопасностью.