आम तौर पर मुझे लगता है कि आपको क्लाइंट को आंतरिक (जैसे डीबी आईडी) का पर्दाफाश करने के लिए सतर्क रहना चाहिए। URL में आसानी से हेरफेर किया जा सकता है और उपयोगकर्ता के पास संभवतः उन वस्तुओं तक पहुंच हो सकती है जो आप नहीं चाहते कि उसके पास हो।
विशेष रूप से MongoDB के लिए, ऑब्जेक्ट आईडी कुछ अतिरिक्त इंटर्नल भी प्रकट कर सकता है (देखें यहां ए> ), यानी वे पूरी तरह से यादृच्छिक नहीं हैं। यह भी एक मुद्दा हो सकता है।
इसके अलावा, मुझे लगता है कि आईडी का उपयोग न करने का कोई कारण नहीं है।