Sì, dal browser. Mi scusi se non sono stato chiaro. Tutto questo sta accadendo da un’altra webapp, l’utente non è connesso e non c’è alcun iframing di discourse. La richiesta proviene da un browser che passa l’apikey come parametri di richiesta.
La mia comprensione delle apikey è che una volta che abbiamo l’apikey dell’utente, possiamo agire per suo conto da qualsiasi luogo, anche da una console/terminale (curl o equivalente). Niente più CORS.