In generale penso che dovresti essere cauto nell'esporre gli interni (come gli ID DB) al client. L'URL può essere facilmente manipolato e l'utente ha possibilmente accesso a oggetti che non vuoi che abbia.
Per MongoDB in particolare, l'ID oggetto potrebbe anche rivelare alcuni elementi interni aggiuntivi (vedi qui ), ovvero non sono completamente casuali. Anche questo potrebbe essere un problema.
Oltre a ciò, penso che non ci sia motivo per non utilizzare l'id.
