Tak jak powiedziałeś, najpierw musisz napisać backend, z aplikacji wysyła się tylko zapytanie http a dane logowania przekazujesz POSTem a na telefon dostajesz jakiś token autoryzacyjny czy coś w tym stylu, zależy jak zrobisz system logowania na serwerze.