Ce n’est pas une restriction propre à Discourse : en général, il est déconseillé d’inclure des identifiants d’administration dans le code source d’un site web.
Si vous pouvez effectuer un appel à l’API Discourse depuis votre serveur Node.js, ce serait probablement la meilleure solution. Si votre application doit être entièrement côté client, demander des clés API spécifiques à l’utilisateur est une option, bien que leur configuration soit beaucoup plus complexe : User API keys specification