Боюсь, что простого ответа нет. API аутентификации, подобные этому, специально разработаны для того, чтобы предотвратить их срабатывание без реального взаимодействия пользователя в веб-среде.
Для вашего случая более распространенным решением было бы использование системы ключей API пользователя. Это позволит Discourse обрабатывать 100% логики аутентификации и предоставит вашему приложению ключи API для каждого пользователя. Такая стратегия должна быть гораздо более надежной, чем попытка «подделать» сессию пользователя.