---

        # Если 2FA нет или она успешно пройдена:
        session.pop('pre_auth_user_id', None)
        
        # --- ГЕНЕРИРУЕМ СЕССИЮ В БАЗЕ ---
        token = secrets.token_hex(24)
        new_session = UserSession(
            user_id=user.id,
            session_token=token,
            ip_address=request.remote_addr,
            user_agent=request.headers.get('User-Agent')
        )
        db.session.add(new_session)
        db.session.commit()
        # -------------------------------

        session.update({
            'user_id': user.id,
            'username': user.username,
            'session_token': token  # Сохраняем токен в куки браузера
        })
        return redirect(url_for('dashboard'))