Im Allgemeinen denke ich, dass Sie vorsichtig sein sollten, Interna (wie DB-IDs) dem Client zugänglich zu machen. Die URL kann leicht manipuliert werden und der Benutzer hat möglicherweise Zugriff auf Objekte, die Sie nicht haben möchten.
Speziell für MongoDB kann die Objekt-ID sogar einige zusätzliche Interna offenbaren (siehe hier ), d.h. sie sind nicht völlig zufällig. Das könnte auch ein Problem sein.
Abgesehen davon denke ich, dass es keinen Grund gibt, die ID nicht zu verwenden.