En général, je pense que vous devez être prudent pour exposer les éléments internes (tels que les identifiants de base de données) au client. L'URL peut facilement être manipulée et l'utilisateur a éventuellement accès à des objets que vous ne voulez pas qu'il ait.
Pour MongoDB en particulier, l'ID d'objet peut même révéler des éléments internes supplémentaires (voir ici ), c'est-à-dire qu'ils ne sont pas complètement aléatoires. Cela pourrait aussi être un problème.
En plus de cela, je pense qu'il n'y a aucune raison de ne pas utiliser l'identifiant.