Esto no es una restricción específica de Discourse; en general, es una mala práctica incluir credenciales de administrador en el código fuente de un sitio web.
Si puedes realizar la llamada a la API de Discourse desde tu servidor de Node.js, esa sería probablemente la mejor solución. Si necesitas que tu aplicación sea puramente del lado del cliente, entonces solicitar claves de API específicas del usuario es una opción, aunque su configuración es mucho más compleja: User API keys specification