Ну пищу для размышлений я явно вынес, сейчас надо разобраться, могу ли я под свою задачу использовать только монговскую валидацию, и думаю на этом и остановлюсь.
Спасибо.
двойная валидация определенно вряд ли нужна, клиентская делает целостность данных беззащитной перед терминалом, админками и другими клиентами в будущем.
через валидацию в монге теоретически можно написать гораздо меньше кода, избежать дублирования, проще будет поддерживать. учитывая, что при нормальном сценарии валидация вообще не нужна, данные ведь будут валидными, то без разницы где она, а против хакеров думаю внутренняя валидация сдюжит, там ведь нет сложных зависимостей между полями, выходящих за рамки возможностей монговских схем?