Я бы обычно использовал строку запроса для такого рода вещей, в первую очередь для того, чтобы страницы можно было добавить в закладки (если вместо этого вы используете сессионное состояние или значения формы, невозможно добавить страницу в закладки). Как вы сказали в своем комментарии к ответу Фредрика, это означает, что пользователи могут манипулировать URL-адресом для просмотра разных клиентов, но это не проблема, если вы проверяете, что пользователю разрешен доступ к указанному клиенту.
Если вы действительно не хотите использовать строку запроса, я бы пошел со скрытыми полями формы, чтобы передать идентификатор. Вы все равно должны проверять, разрешено ли пользователю видеть клиента, а не просто слепо предполагать, что все в порядке.