Нужно ли авторизовать заказчика через ту же форму входа, что и менеджеров с исполнителями?

Добрый день! Занимаемся с другом написанием своей системы управления взаимоотношениями с клиентами (сугубо для приобретения опыта и навыков). Практически со старта уперлись в один момент который вызвал у нас немало споров. Позиция друга такова, что клиенту необходимо регистрироваться и авторизоваться наравне с другими пользователями через общую для всех форму входа/регистрации. Я же считаю, что более правильным будет не регистрировать клиента вообще, а лишь генерировать для него уникальный URL, при переходе по которому пользователь сможет увидеть лишь статус-отчет о своей задаче и иметь возможность добавить некий комментарий, который будет обрабатываться (в оптимальном случае) менеджером для исполнителя. Очень хотелось бы получить аргументированный ответ для любого из случаев. Небольшая подборка наших минусов и контраргументов:

В случае без единой формы для исполнителей (администраторов/менеджеров) и заказчиков:
- Возможность перейти в чужой заказ через подбор уникального постфикса в URL (использовать алгоритмы шифрования для генерации постфикса).
- Невозможность проследить историю заказов и, соответственно, время исполнения, а также ценовую политику предыдущего заказа (иного контраргумента, кроме "это личное дело компании и можно связаться с вышестоящим руководством" нет).
- Если пользователь, по каким-либо причинам, потерял ссылку на свой заказ - он не сможет получить доступ к его статусу и истории (решается звонком в службу поддержки или исполняющему менеджеру, что в теории будет безопаснее, т.к. можно реализовать функции подтверждения личности: секретный вопрос, номер телефона и т.п.)

В случае единой формы авторизации:
- У пользователей нет возможности сделать что-то сверх того, что определено в правах группы пользователей (если пользователь попал в единую систему для всех - ничто не мешает ему ее взломать "изнутри").
- Возможность взлома формы входа через (broot) bruteforce.