Sin entrar en detalles, estoy creando un portal web que otorga a los usuarios una reputación basada en algunos parámetros definidos por nosotros. Para ello, necesitamos obtener los detalles del resumen (/u/{username}/summary.json). Pero luego me di cuenta de que cualquiera puede ingresar cualquier nombre de usuario y secuestrar la reputación de otros. ¿Podrías sugerir una forma óptima en la que pueda obtener solo el resumen de ese usuario? Además, es un portal web, por lo que también estoy recibiendo errores de CORS (que de alguna manera compensé usando un servidor cors-anywhere). ¿Podrías sugerir formas estándar de Discourse para manejarlo?
He intentado compensar la verificación del problema del usuario comprobando el valor de user.can_edit en el endpoint /u/{username}.json, lo que espero que devuelva verdadero si el usuario ha iniciado sesión y el nombre de usuario es el suyo. Pero al intentar enviar esa solicitud desde el servidor, no puedo adjuntar de forma segura las cookies que el navegador incluía automáticamente al enviar la solicitud. Por lo tanto, siempre sería falso.
También he consultado la documentación sobre la generación de user-api-key, que enviará solicitudes como ese usuario, pero hay demasiados problemas de CORS. (¿No hay algo así como que si hay una user-api-key válida en las cabeceras, esa solicitud enviará una respuesta?)
editar - También una cosa importante, soy un usuario no administrador ni moderador en ese foro.