老师，auth 的用户验证加密方式是什么呀，为什么用bcrypt()加密，结果也变？

您好，老师，最近在忙工作上的事情没有及时回复您，是这样的
因为我的小项目里是通过给密码加前缀然后加一个md5 32位固定长度的不可逆加密方式，验证方法自然就是去比较最终结果是否一致，
但是bcrypt的加密算法直接有尝试去读源码，可能是我经验不够，没有看懂，
但是我目前的了解好像这个加密是通过AES-256-CBC的加密方式配置文件的APP_KEY=base64:fkUJhZx5uNzyW+UMJOP7/7E8d5HPSAY/9OwTYK1e2mg=作为key来加密的，但是每次会变 那我就觉得很奇怪，key固定 ，加密方式也固定，怎么就会自动变化呢？
老师，您说的password_verify进行验证，它的第二个参数hash应该是什么呢，