Alors, pour le depth-limiter, Graphile propose déjà un plugin totalement open source fait pour ça (non spécifique à Graphile d’ailleurs):
Pour le rate limiter, il faut effectivement un petit middleware en node.js, de quelques lignes.
Au vue du peu de check que ça nécessite, je pense que l’impact sur les perf est négligeable.
Donc je pense que c’est ok de ce côté là.
edit: pour le rate limiter, bien vérifier que l’API reste exploitable pour la pagination sans trop de contrainte. Ne pas retomber dans le piège de GVA.