Temo che non ci sia una risposta facile. Le API di autenticazione come questa sono specificamente progettate per evitare che vengano attivate senza una reale interazione dell’utente sul web.
Per il tuo caso d’uso, la soluzione più comune sarebbe utilizzare il sistema user API keys. Ciò consentirà a Discourse di gestire il 100% della logica di autenticazione e fornirà alla tua app alcune chiavi API per utente. Questa strategia dovrebbe essere molto più robusta rispetto al tentativo di “falsificare” una sessione utente.