在开发api的时候是否对敏感参数做加密处理

比如在做内容回复和评论,
A用户评论了文章
之后B用户回复A用户的评论,在以前的开发(传统web开发)中是在form表单中提交A用户的ID的,
但是在前后端彻底分离的情况下,接口中暴露用户ID这种可取吗? 还是说将用户ID加密之后再展示????

有一个写法就是在用户注册的时候生成一个唯一且不规则没有规律的随机字符串,从而代替用户的ID,因为自增长的ID很有可能被人猜到!

或者是否有其他好的办法

现在想问的是:
接口中暴露用户ID这种可取吗?
我的这种想法可以吗?