Me temo que no hay una respuesta fácil. Las API de autenticación como esta están diseñadas específicamente para evitar que se activen sin la interacción real del usuario en la web.
Para tu caso de uso, la solución más común sería utilizar el sistema de claves API de usuario. Esto permitirá a Discourse manejar el 100% de la lógica de autenticación y le dará a tu aplicación claves API por usuario. Esa estrategia debería ser mucho más robusta que intentar “simular” una sesión de usuario.