Il ne faut pas exposer d'identifiant généré par une base de données dans ses URLs, pour des raisons exposées dans ce billet. À la place, mieux vaut exposer un UUID associé à la ressource en question.

Sur la construction d'API REST et la construction d'URI par les clients. En gros : il ne faut pas faire de construction d'URI côté client, et n'utiliser que les URIs retournées par le serveur. Et c'est donc la responsabilité du serveur de construire et retourner ces URIs.