Over het algemeen denk ik dat je voorzichtig moet zijn om internals (zoals DB-ID's) aan de client bloot te stellen. De URL kan gemakkelijk worden gemanipuleerd en de gebruiker heeft mogelijk toegang tot objecten waarvan u niet wilt dat hij deze heeft.
Voor MongoDB in het bijzonder, kan de object-ID zelfs wat extra internals onthullen (zie hier ), d.w.z. ze zijn niet volledig willekeurig. Dat kan ook een probleem zijn.
Daarnaast denk ik dat er geen reden is om de id niet te gebruiken.