Realmente, dependendo a consulta irá precisar de uma regra de negócio, validação ou até permissão, mas com o Graphql você pode colocar algumas validações nele pŕoprio e criar uma chamada para alguma função dentro de sua linguagem escolhida para o backend e realizar essas regrar lá.
Leia um pouco este artigo que eu fiz sobre o Hasura https://www.tabnews.com.br/COSWEB/ja-ouviu-falar-do-hasura-gostaria-de-apresentar-esta-maravilhosa-ferramente-graphql-para-os-seus-futuros-projetos
O Hasura vai mudar a sua forma de pensar com o Graphql, parar gerenciar permissões e microsserviços irá facilitar a sua vida.