Não sei se vai servir para o que você quer, pois a sessão somente expira de fato quando há uma nova requisição e o tempo já passou.
Ou seja, se o usuário não fizer uma requisição nunca mais, o código nunca será executado.
Esse código tem que ficar antes da linha que tem auth = Auth(db) no db.py
import datetime
if session.auth:
delta = datetime.timedelta(days=0, seconds=session.auth.expiration)
if not (session.auth.last_visit and session.auth.last_visit + delta > now):
# 'sessão finalizou'
# colocar seu código aqui
Esse código não será executado quando o usuário fizer logout, somente quando ele fizer uma requisição após a sessão expirar.