Без углубления в детали: я создаю веб-портал, который присваивает пользователям репутацию на основе заданных нами параметров. Для этого нам нужно получать данные сводки (/u/{username}/summary.json). Однако позже я понял, что любой может ввести любое имя пользователя и перехватить чужую репутацию. Не могли бы вы предложить оптимальный способ получать сводку только конкретного пользователя? Кроме того, поскольку это веб-портал, у меня возникают ошибки CORS (я пока обхожу их, используя cors-anywhere сервер). Можете ли вы подсказать стандартные способы решения этой проблемы в Discourse?
Я попытался компенсировать это, проверяя значение user.can_edit на эндпоинте /u/{username}.json, надеясь, что оно будет возвращать true только в том случае, если пользователь вошел в систему и указал своё имя. Однако при отправке такого запроса с сервера я не могу прикрепить куки, которые браузер автоматически добавляет при запросах. Поэтому результат всегда будет false.
Также я изучил документацию по генерации user-api-key, которая позволяет отправлять запросы от имени пользователя, но возникают проблемы с CORS. (Разве нет механизма, при котором наличие валидного user-api-key в заголовках гарантирует ответ?)
edit — Также важный момент: я обычный пользователь этого форума, не администратор и не модератор.