２．usernameを渡すと、ハッシュ化されたパスワードを送るWebAPIを作成する(出来た)
↓
3．アプリ側で入力したパスワードとハッシュ化されたパスワード照合し、一致したらトップ画面に遷移する(出来た)

他の回答者さんからもご指摘がある通り、
この時点でかなりセキュリティがガバガバになります。
まずは、
ハッシュ化、並びに照合の部分は、サーバー側でやるべきでしょう。
（アプリに最終的に照合する文字列を保持する、または処理させる時点で危ないため）

サーバー側で、DBに登録するのも、もちろん、ハッシュ化されたパスワードを登録、とする感じです。

ただし、ハッシュ化するだけでは、パスワードの保存においては不十分とされることが多いため、
しっかりと、暗号化するという方向で調べた方がいいかと。

また、現代では、Webアプリと、ネイティブアプリの認証の際、
ユーザー名とパスワードのみでなく、アクセストークンを使うことがほとんどです。
（一時的にせよ恒久的にせよ）
つまり、認証に使う情報としては、
ユーザーネーム・パスワード（送信時はそのままで、サーバー側で、暗号化と照合をする）・アクセストークンの三つを照合にかける、ということです。

ただし、どこまでやっても、完璧に攻撃等を防ぎ切る方法とはなりません。
大事なのは、できる限り、ほぼほぼの攻撃等を防ぐ、という、実装限界と、どれくらい防げるかのバランス見極めかと。
（もちろん最低限ここは防がねば、とのラインはあります）