entendido!
complementando a analogia, é como se o crachá dado ao usuário fosse feito em um cartão magnético, que, dependendo da sensibilidade do que ele pretende acessar, eu posso gerar mais uma validação.
já estou conseguindo entender a utilidade sim...
mas para a natureza da aplicação que será trabalhada, é exigido o máximo possível de segurança para alguns endpoints, por isso pensei em mais uma camada de segurança.
quanto ao id, realmente não precisa ser considerado sensível...