Questa non è una restrizione specifica di Discourse: in generale, è una cattiva idea includere le credenziali di amministratore nel codice sorgente di un sito web.
Se puoi effettuare la chiamata all’API di Discourse dal tuo server Node.js, questa sarebbe probabilmente la soluzione migliore. Se la tua applicazione deve essere esclusivamente lato client, allora richiedere chiavi API specifiche per l’utente è un’opzione, anche se la loro configurazione è molto più complessa: User API keys specification