Generalnie uważam, że powinieneś być ostrożny w ujawnianiu elementów wewnętrznych (takich jak identyfikatory DB) klientowi. Adres URL można łatwo manipulować, a użytkownik ma prawdopodobnie dostęp do obiektów, których nie chcesz, aby miał.
W przypadku MongoDB w szczególności identyfikator obiektu może nawet ujawnić dodatkowe elementy wewnętrzne (patrz tutaj ), tj. nie są całkowicie losowe. To też może być problem.
Poza tym myślę, że nie ma powodu, aby nie używać tego identyfikatora.
