У нас есть две разные системы аутентификации API, что может вызывать путаницу.
Они предназначены для «административного API», описание которого доступно на docs.discourse.org. Этот API не предназначен для использования из JavaScript-клиентов.
Эти параметры относятся к спецификации «User API», которую можно использовать из JavaScript-клиента (и, следовательно, она поддерживает CORS). Подробнее об этом можно узнать здесь: User API keys specification