Temos dois sistemas diferentes de autenticação de API, o que pode causar confusão.
Estes são para a ‘API de administração’, descrita em docs.discourse.org. Ela não foi projetada para ser usada por clientes JavaScript.
Estes são da especificação da “API de Usuário”, que pode ser usada por um cliente JavaScript (e, portanto, suporta CORS). Há mais detalhes sobre isso aqui: User API keys specification