Как защитить GraphQL API от злоупотреблений?

GraphQL без защиты уязвим к: глубоко вложенным запросам, introspection раскрывающему схему, batch атакам. Защита: 1) graphql-depth-limit(7) — максимальная глубина. 2) graphql-query-complexity — лимит стоимости запроса. 3) Отключить introspection в production. 4) Persisted queries — только предодобренные запросы. 5) Rate limiting per resolver. 6) Лимит размера ответа. 7) Disable field suggestions (information leakage). 8) DataLoader для батчинга N+1 запросов. 9) Authentication проверка до выполнения resolvers.