Да, проверка на стороне клиента может быть полностью обойдена, всегда. Вам нужно сделать и клиентскую сторону, чтобы обеспечить лучший пользовательский интерфейс, так и серверную сторону, чтобы быть уверенным, что введенный вами вход фактически проверен, а не просто предположительно подтвержден клиентом.