Безопасны ли идентификаторы (ObjectIds от mongo) для использования в URL-адресе?

Мне недавно сказали, что использование полей mongodb _id в URL небезопасно. Мне было интересно, правда ли это.

Мой сайт ограничен для зарегистрированных пользователей, и у каждого пользователя есть свои конечные точки URL, которые содержат идентификатор от mongo. Это типичное поле mongodb _id - SHA1. AFAIK, идентификатор невозможно угадать, и даже если кто-то наткнется на чужой идентификатор, аутентификация на основе сеанса в моем приложении не разрешает доступ. Никто не имеет прямого доступа к базе данных, кроме самого приложения.

Мне любопытно узнать, не хватает ли мне чего-нибудь.

Edit: Уточненный вопрос. (ObjectID mongodb не являются SHA1)