Это ограничение не специфично для Discourse — в целом, включать учетные данные администратора в исходный код веб-сайта — плохая идея.
Если вы можете выполнить вызов API Discourse со своего сервера на Node.js, это, вероятно, будет лучшим решением. Если ваше приложение должно быть исключительно клиентским, то можно запрашивать ключи API, привязанные к пользователю, хотя их настройка значительно сложнее: User API keys specification