Risposta breve: non importa
In alcuni casi l'utilizzo di / api / 1234 potrebbe essere uno svantaggio. Se l'applicazione non dispone di controlli di autorizzazione appropriati, un utente può provare / api / 1235 e accedere all'account di un altro utente. Questo tipo di vulnerabilità è sorprendentemente comune nella pratica. / api / me è buono perché obbliga lo sviluppatore a recuperare l'ID dalla sessione.
/ api / 1234 può essere un vantaggio se l'ID utente è un segreto. Questo dipende dall'applicazione - in genere con applicazioni interattive, gli utenti possono vedere gli ID di altri utenti. Se l'ID è veramente segreto, questo protegge contro CSRF. Tuttavia, l'applicazione dovrebbe già avere una protezione CSRF, solitamente attraverso un token in un campo nascosto.
In generale, se qualcuno si impossessa di un token di accesso, tutte le scommesse sono disattivate. Focalizza la tua attenzione sulla sicurezza per impedire a chiunque di impossessarsi di un token.