Il ne faut pas exposer d'identifiant généré par une base de données dans ses URLs, pour des raisons exposées dans ce billet. À la place, mieux vaut exposer un UUID associé à la ressource en question.

Sur la construction d'API REST et la construction d'URI par les clients. En gros : il ne faut pas faire de construction d'URI côté client, et n'utiliser que les URIs retournées par le serveur. Et c'est donc la responsabilité du serveur de construire et retourner ces URIs.

Pas lu en entier, mais ça m'a l'air d'être une bonne référence quand on créé une API REST.