Wie viele schon geschrieben haben: das hat so keinen Sinn. Du musst auf Serverseite eh irgendwie abfragen, ob der Request so erlaubt ist oder nicht. Ob man nun die ID einfach oder nicht einfach ändern kann, spiele keine Rolle. Du musst nur prüfen, ob der Benutzer das Recht hat, die Daten, die zu einer bestimmten ID gehörten, zu sehen. Wenn du nicht willst, dass jemand die ID sieht, könntest du auch eine Tabelle mit Fake-ID => ID anlegen und dann einfach immer eine neue Fake-ID erstellen, die zu serverseitig zurückverwandeln kannst. Achtung: das befreit dich NICHT von der Prüfpflicht!