Jag tror att lösenordsmatchning hör hemma i klientgränssnittet och aldrig bör komma till servern (DB-lagret är redan för mycket). Det är bättre för användarupplevelsen att inte ha en server tur och retur bara för att tala om för användaren att två strängar är olika.
När det gäller tunn kontroll, fet modell... alla dessa silverkulor där ute borde skjutas tillbaka mot upphovsmannen. Ingen lösning är bra i någon situation. Tänk var och en av dem i sitt eget sammanhang.
Genom att ta hit den feta modellidén, får du dig att använda en funktion (schemavalidering) för ett helt annat syfte (lösenordsmatchning) och gör din app beroende av den teknik du använder nu. En dag kommer du att vilja byta teknik och du kommer till något utan schemavalidering alls... och då måste du komma ihåg att en del av funktionaliteten i din app var beroende av det. Och du måste flytta tillbaka den till klientsidan eller till styrenheten.