Ich fürchte, es gibt keine einfache Antwort. Authentifizierungs-APIs wie diese sind speziell dafür konzipiert, zu vermeiden, dass sie ohne echte Benutzerinteraktion im Web ausgelöst werden.
Für Ihren Anwendungsfall wäre die gängigere Lösung die Verwendung des Benutzer-API-Schlüssel-Systems. Dies ermöglicht es Discourse, 100 % der Authentifizierungslogik zu handhaben und gibt Ihrer App pro Benutzer API-Schlüssel. Diese Strategie sollte wesentlich robuster sein, als zu versuchen, eine Benutzersitzung zu „fälschen“.