En general, creo que debe tener cuidado al exponer elementos internos (como ID de base de datos) al cliente. La URL se puede manipular fácilmente y es posible que el usuario tenga acceso a objetos que no desea que tenga.
Para MongoDB en especial, la ID del objeto podría incluso revelar algunos elementos internos adicionales (ver aquí ), es decir, no son completamente aleatorios. Eso también podría ser un problema.
Además de eso, creo que no hay razón para no usar la identificación.