Wir haben zwei verschiedene API-Authentifizierungssysteme, was verwirrend sein kann.
Diese sind für die „Admin-API“ vorgesehen, die auf docs.discourse.org beschrieben wird. Sie ist nicht dafür ausgelegt, von JavaScript-Clients verwendet zu werden.
Diese stammen aus der „User-API“-Spezifikation, die von einem JavaScript-Client verwendet werden kann (und daher CORS unterstützt). Weitere Details dazu finden Sie hier: User API keys specification