Regardez la spécification d'ID d'objet BSON ici et vous saurez si il est sûr pour vous d'utiliser .
Si vous essayez de vous protéger des utilisateurs envoyant différentes URL à partir de scripts (fuskators), il me semble que la sécurité est faible. Il n'y aura pas trop de combinaisons de pièces 'machine', 'pid'. La partie 'time' peut être calculée si l'attaquant peut avoir une idée de la façon dont les données ont été insérées (en particulier si vous utilisez le traitement par lots). 'inc' - très faible.
Je ne ferai pas confiance aux ObjectIDs comme seule sécurité.
Veuillez noter qu'il ne peut y avoir de bonne réponse à la question "est-ce sûr" en général. Vous devez décider vous-même.
PS. Mais gardez à l'esprit qu'une telle sécurité basée sur les URL tombera en poussière lorsque les utilisateurs partageront les URL qu'ils ont visitées. Même mieux, votre cryptage n'aidera pas.