Tenemos dos sistemas de autenticación de API diferentes, lo cual puede resultar confuso.
Estos son para la ‘API de administración’, descrita en docs.discourse.org. No están diseñados para ser utilizados desde clientes de JavaScript.
Estos provienen de la especificación de la “API de usuario”, que puede ser utilizada desde un cliente de JavaScript (y por lo tanto, soporta CORS). Hay más detalles sobre esto aquí: User API keys specification