Generellt tycker jag att du bör vara försiktig med att exponera interna delar (som DB-ID) för klienten. URL:en kan enkelt manipuleras och användaren har möjligen tillgång till objekt som du inte vill att han ska ha.
För MongoDB speciellt kan objekt-ID:t till och med avslöja några ytterligare interna delar (se här a> ), dvs de är inte helt slumpmässiga. Det kan också vara ett problem.
Utöver det tycker jag att det inte finns någon anledning att inte använda id:t.