exato! você pode validar no middleware também! chamando a mesma rota para validar o acesso do usuário, além de aproveitar e devolver o usuário atualizado para o front tbm! cada caso é um caso
Respondendo a "mas depende muito da tua aplicação, imagina se..." dentro da publicação Como funciona uma automação de cobrança recorrente de um saas?
4