Nous disposons de deux systèmes d’authentification API différents, ce qui peut prêter à confusion.
Ces éléments concernent l’« API d’administration », décrite sur docs.discourse.org. Elle n’est pas conçue pour être utilisée par des clients JavaScript.
Ces éléments proviennent de la spécification de l’« API utilisateur », qui peut être utilisée par un client JavaScript (et prend donc en charge CORS). Vous trouverez plus de détails à ce sujet ici : User API keys specification