Geralmente, acho que você deve ser cauteloso ao expor internos (como IDs de banco de dados) ao cliente. A URL pode ser facilmente manipulada e o usuário possivelmente tem acesso a objetos que você não quer que ele tenha.

Para o MongoDB em especial, o ID do objeto pode até revelar alguns detalhes internos adicionais (consulte aqui ), ou seja, eles não são completamente aleatórios. Isso pode ser um problema também.

Além disso, acho que não há razão para não usar o id.