この時代、自前でパスワードの管理などしたくはないのですが、しないといけないケースもあるでしょう。最低限やらないといけないこととしては、ソルト生成した上でハッシュ化したパスワードを保存することではないでしょうか。.NET Coreでこれらの処理を行う必要があった時に調べたコードをまとめます。

まずソルトを作成する場合、.NET CoreではRNGCryptoServiceProviderクラスを使って暗号論的に乱数を生成します。GetBytesメソッドは、引数に指定したbyte配列を、生成した乱数で埋めます。

docs.microsoft.com

次にパスワードのハッシュ化ですが、PBKDF2を利用する場合、Rfc2898DeriveBytesクラスを利用できます。ハッシュ化対象の文字列、ソルト、反復回数、ハッシュアルゴリズム名を指定できます。ハッシュアルゴリズムはデフォルトがSHA1なので適宜変更しましょう。

docs.microsoft.com

以上をまとめてコードにするとこうなります。hashedPasswordはbyte配列なので適宜保存しましょう。

using System.Collections.Generic;
using System.Security.Cryptography;

var password = "<入力されたパスワード>";
//必要な長さ分の配列を先に用意する
var salt = new byte[1024];
//RNGCryptoServiceProviderはIDisposableを実装しているので適宜破棄する
using var rng = new RNGCryptoServiceProvider()
rng.GetBytes(salt);

var b = new Rfc2898DeriveBytes(password, salt, 100, HashAlgorithmName.SHA256);
var hashedPassword = b.GetBytes(256);

ソルトとハッシュ値を保存しておき、入力されたパスワードと照合する場合は、保存したソルトを使って、同じ反復回数、ハッシュアルゴリズムでハッシュ化し、両者を比べます。byte配列なのでSequenceEqualメソッドを使っています。

using System.Collections.Generic;
using System.Security.Cryptography;
using System.Linq;

var password = "<入力されたパスワード>";
var salt = "<保存していたソルト>";
var hashedPassword = "<保存していたハッシュ値>";
var b = new Rfc2898DeriveBytes(password, salt, 100, HashAlgorithmName.SHA256);
var challengePassword = b.GetBytes(256);
if (!(hashedPassword?.SequenceEqual(challengePassword) == true))
{
    throw new Exception("ログイン失敗");
}

最近、ASP.NET CoreでTimeZoneまわりのコード書いてて遭遇しました。以前このブログ読んだ記憶はあるのですが、すっかり忘れていました。そして、.NET Core 3でもそのままなんだなというのがわかりました。

devblogs.microsoft.com

.NET Coreで特定のTimeZoneを取得する場合、Windowsな人はこのようなコードを書くと思います。

System.TimeZoneInfo.FindSystemTimeZoneById("Tokyo Standard Time");

当然Windowsでは動くのですが、Unix系システムの上（多いと思われるのがLinuxコンテナ上）で動かすとこんなエラーが発生します。

Exception has occurred: CLR/System.TimeZoneNotFoundException
An unhandled exception of type 'System.TimeZoneNotFoundException' occurred in System.Private.CoreLib.dll: 'The time zone ID 'Tokyo Standard Time' was not found on the local computer.'

これはTimZoneを識別するIDがプラットフォームで異なるという問題によるものです。ブログにある通り、Windowsでは次のように管理されている一方

docs.microsoft.com

LinuxではIANAで公開されているもので管理されています。

www.iana.org

ようは、.NET Coreの内部で情報をもたずにOS（というべきか基本パッケージ・ライブラリとよぶべきか）の持っている情報へのプロキシとして動いている状況です。このあたりは日本の元号の扱いと似たような感じかもしれません。

さて、Linuxで動かすためには次のように書けばOKです。

System.TimeZoneInfo.FindSystemTimeZoneById("Asia/Tokyo");

ただし、当然のように、このコードはWindows上では動きません。そこで最初に紹介したブログではTimeZoneConverterというNuGetライブラリを紹介しています。

github.com

これを使えば次のどちらで書いても動作します。

TimeZoneConverter.TZConvert.GetTimeZoneInfo("Tokyo Standard Time");
TimeZoneConverter.TZConvert.GetTimeZoneInfo("Asia/Tokyo");

また、タイムゾーンの情報を扱う場合、最新の変更はWindowsであればWindows Update、Linuxであればtzdataパッケージの更新などで配布されます。そのため、クライアントアプリなど実行環境が管理できない場合、かならずしも実行結果が一致しない可能性があることに加え、TimeZoneConverterは.NET Core SDKのライブラリではないため別途更新が必要となります。TimeZoneConverterは、TimeZoneの情報そのものを格納しているわけではなく、プラットフォームで異なるIDのマッピングを管理しているだけのようですので、このライブラリを使う場合は、かならずライブラリの更新とOS側の更新が必要になると思われます。